При наличии цифровой подписи, любой может создать фальшивый QR-код и обмануть систему, которую использует и Украина.
Власти Европейского союза расследуют утечку электронных ключей шифрования, необходимых для создания паспортов о вакцинации против COVID-19. Об этом сообщает издание Bleeping Computer.
На днях пользователи сети обнаружили поддельные сертификаты выписанные на имена Микки Мауса, Губки Боба и Адольфа Гитлера, которые опубликовали в нескольких мессенджерах и на онлайн-площадках. Все они распознавались официальным правительственным ПО как действительные, в частности, приложением Verifica C19.
Позднее мониторинговый сервис reversebrain сообщил, что упомянутые фальшивые COVID-паспорта больше не распознаются приложением Verifica C19, вероятнее всего, закрытый ключ изменили. Однако, как обнаружил BleepingComputer, версии приложения 1.1.5 для Android и iOS все еще признают действительным QR-код с сертификатов на имя Адольфа Гитлера и различных вымышленных персонажей. При этом некоторые пользователи публикуют закрытые ключи на хакерских форумах, обсуждают подделку "зеленых пропусков" и продают готовые паспорта за $300.
В Евросоюзе обладатели "зеленых пропусков" (Green Pass) могут свободно пересекать государственные границы при наличии прививки или негативного теста на короновирус. Для его создания используют систему EU Digital Covid, в которых хранятся медицинские данные, а сертификаты защищают цифровой подписью, зашифрованной в QR-коде. Доступ к ключу позволяет злоумышленникам создавать фальшивые цифровые документы, которые не отличить от настоящих даже по QR-коду.
Согласно правительственным документам, каждое уполномоченное учреждение имеет собственный ключ для цифровой подписи, например, больницы. Они хранятся в защищенных базах данных, которые запустила каждая страна Евросоюза. Bleeping Computer пишет, что обнаружил фальшивые сертификаты с QR-кодами, созданными в разных странах: Франции, Германии, Италии, Нидерландах, Северной Македонии, Польше и других.
Это ставит под сомнение подлинность даже настоящих сертификатов, выданных официальными органами. Отозвав ключ, власти аннулируют как поддельные, так и законные паспорта — в таком случае обладателям "зеленых пропусков" придется получать их заново.
"Нам известно о предполагаемых мошеннических манипуляциях с QR-кодом сертификата ЕС Covid, и мы ознакомились с отчетами. Мы внимательно следим за развитием этого инцидента и находимся в контакте с соответствующими властями государств-членов, которые расследуют и принимают меры по исправлению положения", — прокомментировал BleepingComputer представитель ЕС и заявил, что инцидент не повлиял на безопасность системы Gateway.
Gateway — это инструмент, позволяющий пограничникам из разных государств проверять COVID-сертификаты иностранцев. Как сообщала пресс-служба Минздрава, в августе Украина присоединилась к этой международной системе, благодаря чему европейцы признали паспорта и QR-коды в приложении "Дія". Пока неизвестно, были ли "слиты" украинские ключи для их создания.