Fałszerstwa dzięki PKW, która udostępniła bandycką metodę "na komórkę"

https://niebezpiecznik.pl/post/czy-grafika-w-telefonie-wystarczy-by-uzys...

Czy grafika w telefonie wystarczy by uzyskać duplikat karty SIM?

Kontynuujemy wątek aplikacji mObywatel, która teoretycznie powinna służyć do potwierdzania danych w “prywatnych” sytuacjach. PKW oficjalnie powiedziała nam, że graficzne zabezpieczenia aplikacji są jej zdaniem wystarczające. Tymczasem nasz Czytelnik zarejestrował kartę SIM na zrzut z ekranu, a my pytamy operatorów, czy aplikacja wystarczyłaby do uzyskania duplikatu karty SIM.

Zaraz po wyborach pisaliśmy o tym, że teoretycznie możliwe było dokonanie oszustwa wyborczego dzięki rządowej aplikacji mObywatel, która w pewnych warunkach może zastępować dowód osobisty. Powiedzmy sobie wprost, że grafika jest łatwiejsza do wytworzenia niż plastik, a urzędnicy nie weryfikują mObywatela aplikacją mWeryfikator, mimo iż jedną z zalet rządowego rozwiązania jest właśnie możliwość dokonania weryfikacji na bazie kodu QR.

PKW: Nie było sygnałów o nadużyciach

Mamy powody by pociągnąć temat dalej. Przede wszystkim Państwowa Komisja Wyborcza (PKW) odpowiedziała na nasze pytania dotyczące weryfikacji osób głosujących za pomocą mObywatela. Odpowiedź dostaliśmy w formie pięknego dokumentu. Wydrukowanego, zeskanowanego i opatrzonego własnoręcznym podpisem zastępcy przewodniczącego :). Doceniamy ten wysiłek, choć po raz kolejny przypominamy – zwykły mail będzie zawsze wystarczający.

Najważniejsza informacja znajduje się na samym końcu dokumentu. PKW “nie otrzymała sygnałów o nadużyciach związanych z tym sposobem okazywania tożsamości“. To istotne uzupełnienie wcześniejszego artykułu i dlatego wymieniamy je na pierwszym miejscu.

Równie godna podkreślenia jest informacja, że PKW dostrzega potrzebę ciągłego analizowania nowych rozwiązań takich jak mTożsamość, ale… PKW nie ma zamiaru wymagać używania mWeryfikatora w Obwodowych Komisjach Wyborczych (to ostatnie nie zostało napisane wprost, ale jednak wynika z treści pisma).

Zabezpieczenia?

My wątpimy, czy “zabezpieczenia w warstwie wizualnej” faktycznie można nazwać “zabezpieczeniami”. Pulsująca flaga czy “znak wodny” to raczej mały problem dla grafika (albo nawet średnio rozgarniętego użytkownika programów graficznych). Jeśli chodzi o hologram reagujący na akcelerometr to cóż… wystarczy zrobić ruchomy obraz i nieco poruszać smartfonem przy okazywaniu aplikacji. Powinno wyglądać dobrze. Z odpowiedzi PKW wynika, że głównym zabezpieczeniem jest ruchoma flaga.

PKW nie odniosła się do tego, że fałszowanie grafiki jest łatwiejsze niż fałszowanie plastiku. Komisja zauważyła jedynie, że w aplikacji jest zabezpieczenie przed wykonaniem zrzutu z ekranu. Niestety część naszych Czytelników bez problemu robiła zrzuty. Być może skuteczność zależy od modelu telefonu lub zabezpieczenie nie zadziała, gdy ktoś używa aplikacji do tego celu. Inne rzecz, że nie trzeba wcale robić zrzutu. Można wygenerować inny, bardzo podobny, nawet niekoniecznie identyczny obraz.

mObywatel idzie do salonu

Problem weryfikowanie mObywatela “na oko” wykracza poza wybory. Wspominaliśmy już, że taka właśnie weryfikacja zdarza się na poczcie. Nasz Czytelnik – nazwijmy go Sylwek – podzielił się z nami ciekawą historią dotyczącą mObywatela w salonie operatora GSM.

Cześć chciałem się z wami podzielić spostrzeżeniem na temat rejestracji kart sim u operatorów (…) Otóż teoretycznie wymagany jest do tego dowód osobisty present czyli plastik wręczany do ręki panu/pani która nas rejestruje w punkcie obsługi. Jednak dzis udało mi sie zarejestrować taką kartę okazując aplikacje mObywatel. Pokazałem miłemu Panu ekran smartfona ze swoimi danymi oraz zdjęciem. Dane Pan przepisał i wydal kartę sim, zarejestrowaną. Nie byłoby w tym nic dziwnego gdyby nie fakt, zenie przepisywał danych prosto z aplikacji mObywatel, a ze spreparowanego screenshota na którym co prawda byly poprawne moje dane ale dorysowałem sobie na zdjeciu opaskę jak u pirata by sprawdzić czujność obsługi.

Ciekawa sytuacja. Rządowa aplikacja może ułatwiać obchodzenie wprowadzonego przez rząd obowiązku rejestracji karty SIM.

Czytając maila od Sylwka od razu zadaliśmy sobie inne pytanie – czy można uzyskać duplikat karty SIM okazując w salonie mObywatela? Bo jak wiecie uzyskanie duplikatu karty SIM może skutkować kradzieżą sporych sum pieniędzy, a w Polsce nie ma systemowego zabezpieczenia przeciwko tzw. SIM Swap Fraudom. Przynajmniej nie mamy takiego zabezpieczenia jakie ma Mozambik.

Tylko Orange wie, że wymaga dowodu?

Aby zorientować się w poziomie zagrożeń, postanowiliśmy spytać 4 operatorów infrastrukturalnych telefonii komórkowej, czy w ogóle możliwe jest w ich salonie uzyskanie karty SIM po okazaniu aplikacji mObywatel. Ku naszemu zdziwieniu, odpowiedział nam tylko jeden operator – Orange.

Weryfikacja klientów w salonach Orange odbywa się na podstawie tradycyjnych, fizycznych dowodów osobistych. Analizujemy możliwości wdrożenia w sieci sprzedaży aplikacji mWeryfikator, aby usprawnić obsługę klientów, którzy korzystają z mObywatela.

Czyli Orange nie dopuszcza weryfikacji “na oko” co jest bardzo dobrą wiadomością.

Po otrzymaniu tej odpowiedzi spytaliśmy Orange, czy możliwe byłoby zarejestrowanie karty SIM z użyciem mObywatela. Rzecznik prasowy operatora Wojciech Jabczyński odpowiedział nam, że “To też wymaga dowodu”. Cieszy nas, że choć jeden operator ma w tej sprawie jasne stanowisko.

Niestety Plus, Play i T-Mobile nie odpowiedziały na nasze pytania. Owszem, przeanalizowaliśmy regulaminy i wpisy na ich stronach, ale wolelibyśmy mieć jasną odpowiedź na  pytanie.

Plus pisze na swoich stronach, że rejestracja karty SIM wymaga dowodu, gdy tymczasem Sylwek zarejestrował swoją kartę właśnie w salonie Plusa. Mamy przy tym świadomość, że pracownicy mogą czasem postąpić niezgodnie z procedurami, ale jest też inna możliwość. Każdy z operatorów, którzy nigdy nie odpowiedzi, mógł zwyczajnie nie wypracować procedur dotyczących mObywatela. To niebezpieczne to pracownicy mogą wiedzieć, że jest to promowany przez państwo sposób weryfikacji. Brak wyraźnego stanowiska oznacza potencjalne ryzyko.

Nam w przeszłości udawało się uzyskać duplikat karty SIM bez dowodu osobistego. Ech… gdybyśmy mieli wtedy mObywatela, może byłoby łatwiej :).

Dobra wiadomość jest taka, że mObywatel nie wystarczy do załatwienia sprawy w banku. Sprawdzaliśmy w kilku oddziałach trzech dużych banków i odesłano nas z kwitkiem uprzejmie acz stanowczo :).

Co robić? Jak żyć?

Chcemy aby było jasne, że naszą intencją nie jest zniechęcanie do korzystania z aplikacji mObywatel. Nie uważamy również, aby taki produkt był zbędny czy zły. Poddajemy jedynie pod krytykę niektóre praktyki związane z używaniem tej aplikacji. Przypominamy, że istnieje także aplikacja mWeryfikator, która pozwala na potwierdzanie tożsamości z użyciem kodu QR. Ta aplikacja – owszem – ma swoje ograniczenia i nie zawsze działa jak powinna, ale jednak wprowadza zabezpieczenie inne niż element graficzny.

Podtrzymujemy swoją wcześniejszą poradę – chodźcie na wybory, to nikt nie wykorzysta waszego głosu, albo przynajmniej dowiecie się o nadużyciu.

Na koniec warto przypomnieć raz jeszcze, że mObywatel nie jest dowodem osobistym, ani nie jest jego elektroniczną wersją. To tylko dostarczany przez państwo alternatywny sposób potwierdzania tożsamości. Na koniec dobrze będzie zacytować pewne fragmenty z regulaminu aplikacji.

Aplikacja umożliwia potwierdzenie Twoich danych osobistych (imienia, nazwiska czy wieku) w stosunkach prywatnych (np. w razie stłuczki, najmu roweru czy mieszkania). Wiarygodność danych zawartych w Aplikacji wynika z faktu, że dane pochodzą z rejestrów państwowych i zostały pobrane przez osobę, która została zidentyfikowana przez Państwo. Dane są też przechowywane i przesyłane za pomocą aplikacji udostępnionej przez Państwo.

Nie jest natomiast możliwe posługiwanie się aplikacją w stosunkach z administracją publiczną (np. przy kontroli drogowej czy wizyty w urzędzie) ani wtedy, gdy z przepisów prawa (ustawy, rozporządzenia itd.) wynika obowiązek okazania dowodu osobistego. Aplikacja nie uprawnia również do przekraczania granicy (np. w przypadku przekraczania granic państw UE i strefy Schengen).

Zwracamy uwagę, że korzystanie z aplikacji nie zwalnia Cię z obowiązków wynikających z przepisów prawa. Zbieranie danych innych użytkowników, posługiwanie się nimi czy ich publikacja podlegają ograniczeniom prawnym wynikającym m.in. z przepisów służących ochronie danych osobowych, dóbr osobistych i prywatności.

Aktualizacja 3.06.2019 15:16
Pytania, jakie rozesłaliśmy do operatorów brzmiały dokładnie tak.

1. Czy w salonach [nazwa operatora] wydaje się karty SIM po okazaniu aplikacji mObywatel, czy tylko na podstawie dowodu osobistego?

2. Czy personel [nazwa operatora] został przeszkolony w zakresie rozpoznawania aplikacji mObywatel i możliwych podróbek?

3. Czy [nazwa operatora] rozważa użycie lub używa w salonach aplikacji mWeryfikator do weryfikowania aplikacji mObywatel poprzez skanowanie kodu QR?

Przed chwilą dotarły do nas odpowiedzi rzecznika Play Marcina Gruszki.

Nie obsługujemy aplikacji mObywatel. Mamy ściśle określone procedury wymiany kart sim w POS i opierają się one na pokazaniu fizycznych dowodów tożsamości (lub innych równoważnych DO dokumentów)

Nie został, ponieważ nie obsługujemy tego typu przypadków. Konsultant postępując wg procedury poprosi o fizyczny dokument

Na chwilę obecną nie analizujemy takiego tematu

Rzecznik Plusa obiecał nam przesłanie odpowiedzi, natomiast T-Mobile ciągle milczy.