„Projektując aplikację mObywatel, uwzględniono zagrożenia związane z nieuprawnionym dostępem do urządzenia oraz możliwością uruchomienia złośliwego oprogramowania na urządzeniu” – zapewnia resort cyfryzacji w odpowiedzi na pismo rzecznika praw obywatelskich.
RPO zwrócił uwagę na zagrożenie tzw. juice jackingiem, który polega na atakowaniu urządzeń uniwersalną magistralą szeregową (USB) podczas ich ładowania.
Profesor Marcin Wiącek wskazywał, że z jednej strony w przestrzeni publicznej wzrasta liczba ogólnodostępnych portów USB (również tych finansowanych z pieniędzy publicznych), a z drugiej pojawia się coraz więcej ostrzeżeń przed taką formą cyberataku – chociażby ze strony Federalnego Biura Śledczego. Amerykańskie służby zalecają noszenie własnego sprzętu ładującego obsługiwanego przez gniazdka elektryczne.
RPO przypomniał, że zagrożeni są przede wszystkim użytkownicy: telefonów komórkowych, tabletów i laptopów. „Rozróżnia się dwa rodzaje ataków wykorzystujących metodę juice jacking – kradzież danych oraz instalację złośliwego oprogramowania” – czytamy w piśmie. W ten sposób hakerzy mogą zyskać dostęp m.in. do danych osobowych czy też rozpocząć śledzenie urządzenia. W związku z tym rzecznik zwrócił się do MC z pytaniem o sposoby zabezpieczenia danych dostępnych w rządowej aplikacji mObywatel, którą można pobrać na smartfona (umożliwia ona dostęp m.in. do elektronicznego dowodu osobistego czy prawa jazdy).
W odpowiedzi Ministerstwo Cyfryzacji wskazało na trzy mechanizmy, które mają zapobiegać zagrożeniom związanym z nieuprawnionym dostępem do urządzeń, w tym polegającym na uruchomieniu złośliwego oprogramowania. Po pierwsze, warunkiem uruchomienia aplikacji mObywatel jest prawidłowe działanie samego urządzenia i jego systemu operacyjnego – sprawdzane jest, czy telefon nie został poddany „rootowaniu”, czyli czy nie zostały pominięte podstawowe mechanizmy bezpieczeństwa dotyczące procesora. „W przypadku, gdy użytkownik poddał «rootowaniu» urządzenie, nie jest możliwe zapewnienie odpowiedniego poziomu poufności przetwarzanych danych i aplikacja nie uruchamia się” – zapewnia resort. Po drugie, wykorzystywane są mechanizmy kryptograficzne dostarczane przez system operacyjny, które zabezpieczają dane przetwarzane za pomocą aplikacji. Dostęp do nich jest możliwy dopiero po prawidłowym uwierzytelnieniu, są również podpisywane kluczem użytkownika. Kiedy dane nie są wykorzystywane – są przechowywane w dedykowanym kontenerze w postaci zaszyfrowanej. Po trzecie, mechanizmy kryptograficzne są również stosowane do zabezpieczenia transmisji danych.
Dodatkowo resort przekonuje, że – poza odpowiednimi cyfrowymi zabezpieczeniami – kładzie również nacisk na zapobieganie tego typu atakom poprzez akcje edukacyjne skierowane do obywateli. „W kontekście profilaktyki i przeciwdziałania atakom typu juice jacking, Ministerstwo Cyfryzacji promuje praktyki związane z unikaniem publicznych ładowarek oraz zaleca obywatelom korzystanie z prywatnych źródeł zasilania, power banków, używanie kabli tylko do ładowania (only charge) nieprzesyłających danych cyfrowych oraz systematyczne aktualizowanie systemów operacyjnych i aplikacji” – podkreśla wiceminister Paweł Olszewski.©℗
