澳大利亚昆士兰州将测试一款移动驾照应用程序,最终于 2023 年在全州范围内发布,而加利福尼亚州也可能在不久的将来测试采用生物识别技术保护的数字驾照应用程序。然而,各国可能需要对实施持谨慎态度。数字安全公司 Dvlun 的一篇博客文章称,新南威尔士州政府的 mDL 应用程序的设计安全缺陷仍未得到纠正,并构成重大漏洞。
昆士兰州将试用 mDL 应用程序
澳大利亚昆士兰州将在汤斯维尔市试行移动驾驶执照 (mDL) 应用程序,并计划于 2023 年在全州推广该应用程序。
这全国零售协会在博客文章中写道,州政府将在 2022 年底试用一款数字驾照应用程序,其中包含驾驶执照、海事执照和带照片的身份证。它将允许用户控制他们希望显示的信息,例如仅显示他们的照片和年龄,而不暴露他们的出生日期和地址。
该协会表示,该应用程序将受到手机安全系统和用户设置的六位数 PIN 码的保护。该应用程序本身似乎不具有生物识别安全性,尽管它可能根据手机的安全系统提供功能,其中可能包括指纹或面部等生物识别模式。
可以通过检查视觉安全功能(例如脉动的昆士兰州徽章或上次在线刷新日期)并使用应用程序或验证器应用程序扫描二维码来验证该应用程序。据该协会称,它将免费提供,并且不会取代实体身份证。
2020年,昆士兰州通过了一项法律,分配。
安全公司暴露了新南威尔士州数字驾驶执照持续存在的安全漏洞
与此同时,立即向南,灌木丛澳大利亚数字安全公司表示,尽管三年前就发出了警告,但新南威尔士州的 mDL 仍然容易受到攻击和重大设计缺陷。
Dvlun 在一篇博客文章中表示,安全研究人员指出了新南威尔士州政府发布的数字驾驶执照中存在的安全缺陷,例如操纵数据和创建欺诈身份的能力。尽管发出警告,Dvlun 表示政府尚未做出正式回应,而且其自己对 iOS 上该应用程序的分析表明,无需修改或重新打包应用程序本身,就有可能生成欺诈性的 mDL。
Dvlun 展示了该应用程序安全故障的时间表,从 2019 年的一名安全研究人员演示了如何在保留安全功能的同时编辑 mDL 详细信息(例如带有 Pokemon 角色肖像的用户照片),到 2022 年据称创建假 mDL 的年轻人。
该公司对 mDL 的研究发现了安全设计缺陷,包括缺乏安全加密、缺乏客户端验证、编辑后无法刷新许可证、仅传输用户名称和次要状态的代码 API 以及备份和可恢复的应用程序数据。
大约 390 万新南威尔士州居民使用 mDL,约占总人口的 70%。 Dvlun 表示,安全性较差的应用程序带来的威胁包括可能影响债务和信用评分的身份欺诈、未成年人购买酒精饮料以及医疗身份盗窃。
为了解决这些问题,Dvlun 建议采用更强的加密、新南威尔士州政府的客户端验证、通过滑动刷新已编辑许可证的详细信息,包括二维码阶段许可证持有者的照片,并排除某些文件系统属性以防止备份后恢复。
一个2022 年 5 月发布的澳大利亚数字身份证系统审查报告指出,该国的数字身份证系统存在许多弱点和缺陷。它建议通过生物识别技术来解决这些问题。
由于隐私问题,加州准备进行数字驾驶执照试验
据加州政府称,加州正在寻求在全州范围内的生物识别安全 mDL 方面迈出一步。洛杉矶时报,加入美国其他几个州的 mDL 和数字 ID 行列。
2021 年,加州立法者授权该州机动车辆管理局 (DMV) 在一年内试行 mDL 和 ID 卡。这给了加州DMV大约一年的时间来构思试点的时间表和成本估算。
这样的 mDL 很可能会追随其他已颁布自己的 mDL 的州的脚步,例如路易斯安那州,,和亚利桑那州,同时。它将使用智能手机上的生物识别模式作为身份验证器。
mDL 的支持者认为,通过生物识别技术保护的数字许可证将更加安全、私密和方便。批评者指出,标准之间的差异可能会导致兼容性问题,并非每个人都拥有智能手机或平板电脑,并且存在大规模隐私侵犯的可能性。
《纽约时报》援引消息人士的话说,mDL 必须解决执法部门在搜查过程中被追踪和获取敏感信息的担忧。为了解决隐私问题,一些人建议采用区块链(例如可验证凭证)或完全去中心化的系统(例如自我主权身份)。
但《泰晤士报》报道称,该州DMV仍在与多家供应商讨论可能的方法,并且尚未确定启动任何试点的日期。今年 3 月宣布,它已被选为加州生产实体许可证和 mDL,为期 12 年。
不过,加州立法者确实为 mDL 试验提出了一系列条件,例如不得强迫参与、不得通过应用程序进行跟踪或数据挖掘、不得进行未经授权的搜索以及不得提供额外数据。
文章主题
|||||||||
