Rzecznik Praw Obywatelskich zwrócił się z prośbą o informację dotyczącą zabezpieczenia rządowych aplikacji mobilnych, takich jak np. mObywatel. Zaniepokojony był tym faktem, szczególnie w kontekście ataków tzw. juice jacking, czyli z wykorzystaniem publicznych portów USB.
Atak typu juice jacking polega na użyciu USB do zainfekowania urządzenia użytkownika. Celem mogą być smartfony, tablety i laptopy, czyli sprzęt, który podłączamy do publicznego źródła zasilania. W ten sposób może dojść do np. kradzieży danych lub instalacji oprogramowania monitorującego.
Jak pisaliśmy już w październiku 2023 roku, problemem tym zainteresował się Rzecznik Praw Obywatelskich Marcin Wiącek. Jak wyjaśniono wtedy w komunikacie, wynika to z faktu, że tego typu cyberatak „niezwykle głęboko ingeruje w prywatność użytkowników sprzętów, które miały kontakt z zainfekowanym portem”.
RPO był szczególnie zaniepokojony zabezpieczeniem rządowej aplikacji mObywatel, zważając na fakt, że to „cyfrowy portfel dokumentów”, takich jak np. dowód w wersji cyfrowej, ale też mobilne prawo jazdy czy certyfikat szczepień. O sprawę pytał jeszcze byłego ministra cyfryzacji Janusza Cieszyńskiego.
Czytaj też
Olszewski: Zabezpieczono aplikację mObywatel
Na pismo RPO odpowiedziało już nowe kierownictwo Ministerstwa Cyfryzacji i sekretarz stanu Paweł Olszewski.
Zapewnia w piśmie, że „w ramach podległego mi Ministerstwa Cyfryzacji zostały podjęte odpowiednie kroki w celu zwiększenia bezpieczeństwa cyfrowego obywateli” i odnosi się do zabezpieczenia aplikacji mObywatel.„Projektując aplikację mObywatel uwzględniono zagrożenia związane z nieuprawnionym dostępem do urządzenia oraz możliwością uruchomienia złośliwego oprogramowania na urządzeniu” - zapewnia w oficjalnym piśmie, przygotowanym przez resort cyfryzacji.
Jak zaznaczył, warunkiem uruchomienia aplikacji jest prawidłowe działanie urządzenia oraz systemu operacyjnego, w tym sprawdzenie, czy telefon nie został poddany operacji „rootowania” (czyli obejścia podstawowych mechanizmów bezpieczeństwa zapewniających między innymi izolację pomiędzy wątkami procesora, co ogranicza możliwość dostępu do pamięci innych programów - tłumaczy Olszewski). Dodał, że w przypadku, gdy użytkownik poddał „rootowaniu” urządzenie, nie jest możliwe zapewnienie odpowiedniego poziomu poufności przetwarzanych danych i aplikacja nie uruchamia się.
Dalej wiceminister objaśnia, że jeśli chodzi o mObywatela, wykorzystano mechanizmy kryptograficzne. „Wszystkie dane są przechowywane w dedykowanym kontenerze w postaci zaszyfrowanej. Dostęp do danych możliwy jest dopiero po prawidłowym uwierzytelnieniu w aplikacji. Poza zapewnieniem poufności danych osobowych użytkownika, mechanizmy kryptograficzne zapewniają ich integralność dzięki podpisaniu ich pieczęcią ministra. W momencie opuszczania kontenera dane są dodatkowo podpisywane kluczem użytkownika” - pisze Paweł Olszewski.
Kryptografię zastosowano też do zabezpieczenia transmisji danych: „Mowa tutaj o mechanizmach zapewniających integralność danych przekazywanych do interesariuszy oraz poufność np. poprzez mechanizm Certificate Pinning”.
Pismo RPO Marcin Wiącek wystosował do Ministerstwa Cyfryzacji w kontekście ataków „juice jacking”. Resort zapewnia, że promuje praktykę unikania publicznych ładowarek i zaleca korzystanie z prywatnych (ładowarek, USB, power banków itp.) i przypomina o systematycznym aktualizowaniu systemów operacyjnych i aplikacji.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].