Androidis kontrollib Smart-ID äpp SMSiga saabunud koodi automaatselt ning seda äppi käsitsi sisestada ei saagi. Sisuliselt tähendab see seda, et Androidis saab nüüdsest Smart-ID konto luua vaid sellesse seadmesse, kus on kasutaja mobiil-ID SIM-kaart.

Kui kontot proovida luua seadmesse, kus SIM-kaarti ei olegi või kus on mõne muu numbriga SIM-kaart, annab rakendus veateate ehk kontot teha ei saagi.

Muudatuste tulemusena ei saa enam kusagilt kaugelt teises seadmes inimesele kontot luua, sest kurjategija ei saa vastavat SMSi ning konto loomine ebaõnnestub. Ühtlasi tähendab muudatus ka seda, et ilma SIM-kaardita seadmetesse enam Smart-ID kontot kaugmeetodil mobiil-ID abil luua ei saa.

Kuna iOS ei võimalda äppidel Androidile sarnaselt SMSidele ligi saada, siis seal peab kasutaja võtma SMSist saabunud pika koodi ning selle käsitsi Smart-ID konto loomisel rakendusse sisestama.

“Kui ründaja on oma seadmega eemal ja tal on vaja sisestada ühekordne parool, siis temal seda ei ole,” ütles RIA elektroonilise identiteedi osakonna nõunik Mark Erlich. “See tuleb telefonile ja seal on selgelt öeldud et see on aktiveerimise jaoks. See peaks lööma häirekellad lõplikult helisema.”

Lisaks täiendavale SMSile on SK ID Solutions kasutusele võtnud veel meetodeid petturite leidmiseks, näiteks on neil algoritm, mis konto loomise puhul proovib teatud tunnuste puhul aru saada, kas tegemist on reaalse kontoloomisega või pettusega.

RIA peab hetkel neid muudatusi piisavaks, et menetlus SK ID Solutionsi suhtes lõpetada, kuid jääb olukorda edasi jälgima.

“Kasutusmugavus muutub küll väiksemaks, kuid risk läheb sellisele tasemele, et me saame olla sellega rahul,” ütles RIA peadirektori asetäitja küberturvalisuse alal Uku Särekanno.

Menetluse lõpetamise otsuses on aga kirjas, et kui ka nendele muudatustele vaatamata peaks edaspidi ikkagi kas või üks võltskonto loodama, peab SK minema turvalisusega veel kraadi kangemaks ehk käivitada täiendava aktiveerimiskanali.

Sisuliselt tähendab see, et kui Smart-ID konto on loodud, ei saaks seda kohe kasutama hakata, vaid kasutaja peab minema mingile veebilehele, seal eraldi sisse logima ning eraldi Smart-ID teenuse aktiveerima.

Praeguseks on Eestist teada 42 juhtumit, kus inimestele Smart-ID võltskontod loodi, 10 juhul kasutati seda ka reaalselt ära. Viimastel nädalatel pole uusi võltskontosid ega ärakasutamisi teadaolevalt lisandunud.

“See oli selge turvanõrkus: kontod loodi, kahju tekitati,” ütles Särekanno ja lisas, et samas ei saa unustada, et pettuseahelas oli oluliseks komponendiks ka mobiil-ID.

“Petuskeem oli ehitatud ikkagi üles sellele, et sa lähed hakkad midagi mobiil-ID abil kusagil looma,” rääkis Särekanno. “Sisestad muudkui PIN-kood ja jõuad välja kuhugi, kuhu sa ise ei tahtnud jõuda.”

Tema sõnul on see kasulikuks õppetunniks nii Smart-ID kui mobiil-ID osas.

“Me peame vaatama, milliseid lahendusi mobiil-ID peal jooksutatakse ja mida me saaks teha et sarnaseid petuskeeme oleks seal raskem kasutada. Me peame siin edasi nuputama.”

Üheks õppetunniks oli Erlichi sõnul ka see, et kui Saksamaa spetsialistid Smart-ID turvalisust auditeerisid, siis ei tegelenud nad küsimusega, kui raske või lihtne on petta mitte tehnoloogiat, vaid inimesi.

“Need asjad, mida me kümme tagasi lugesime turvaliseks, on täna ebaturvalised,” rääkis Erlich. “Smart-ID puhul nägime, et ka selliseid asju, mis on auditeerimise skoobist väljas, tuleb arvestada.”