Biuletyn Informacji Publicznej RPO

• Jednym z problemów cyberbezpieczeństwa jest tzw. juice jacking - atakowanie urządzeń elektronicznych  z wykorzystaniem publicznych portów USB, czego efektem jest przejęcie kontroli nad smartfonem czy laptopem  
• W tym kontekście Rzecznik Praw Obywatelskich zwraca szczególną uwagę na bezpieczeństwo rządowych aplikacji moblinych, takich jak mObywatel
• AKTUALIZACJA: Ministerstwo Cyfryzacji promuje praktyki związane z unikaniem publicznych ładowarek oraz zaleca obywatelom korzystanie z prywatnych źródeł zasilania, power-banków, używanie kabli tylko do ładowania (only charge) nieprzesyłających danych cyfrowych oraz systematyczne aktualizowanie systemów operacyjnych i aplikacji

RPO Marcin Wiącek prosi ministra cyfryzacji Janusza Cieszyńskiego o informację nt. zabezpieczenia danych dostępnych w aplikacjach rządowych przed nieuprawnionym dostępem i przejęciem.

Cyberataki są jednymi z największych zagrożeń 21. wieku i stanowią już powszechne zjawisko. Nowe metody tych ataków muszą być przedmiotem analizy i refleksji, a także reakcji ze strony właściwych organów.

Jak wynika z Doktryny Cyberbezpieczeństwa Rzeczypospolitej Polskiej z 2015 r., działania na rzecz cyberbezpieczeństwa muszą być podejmowane z uwzględnieniem ochrony praw człowieka i obywatela, a także poszanowaniem prawa do wolności słowa oraz prywatności. Proporcjonalność środków bezpieczeństwa w stosunku do zagrożeń powinna być oparta na efektywnej i wiarygodnej analizie ryzyka.

Od pewnego czasu szeroko dyskutowanym problemem jest tzw. juice jacking - cyberatak wykorzystywany do atakowania urządzeń uniwersalną magistralą szeregową (USB). Atakowanymi urządzeniami są przede wszystkim telefony komórkowe, tablety i laptopy. Do ataku wykorzystuje się port ładowania danego urządzenia. Rozróżnia się dwa rodzaje tych ataków - kradzież danych oraz instalację złośliwego oprogramowania.

Taki cyberatak niezwykle głęboko ingeruje w prywatność użytkowników sprzętów, które miały kontakt z zainfekowanym portem, wobec czego stał się przedmiotem zainteresowania Rzecznika.

Gdy osoba chcąca skorzystać z zainfekowanego portu podłącza swoje urządzenie, hakerzy uzyskują wszystkie dane osobowe bądź infekują urządzenie złośliwym oprogramowaniem. Możliwe jest także kopiowanie danych wrażliwych ze smartfona, tabletu bądź urządzenia komputerowego oraz kradzież tożsamości przy wykorzystaniu takich danych (np. z serwisów bankowych) czy też śledzenie urządzeń.

Istnieją także sposoby na zeskanowanie telefonu komórkowego w poszukiwaniu konkretnych informacji, szczegółów kont użytkownika, danych związanych z bankowością elektroniczną, w tym m. in. dotyczących karty debetowej (kredytowej), a także aplikacji obsługujących przelewy. Hakerzy uzyskują nazwy użytkownika i hasła w ułamek sekundy. Takie oprogramowanie może długo monitorować zainfekowane urządzenie. Może także zamrozić urządzenie i zaszyfrować wszystkie dane, uniemożliwiając powtórny dostęp użytkownika.

Trwają badania i prace nad ograniczeniem zagrożeń związanych z juice jackingiem. Federalne Biuro Śledcze ostrzega użytkowników publicznych portów USB, że hakerzy znaleźli sposób na wprowadzenie tam złośliwego oprogramowania oraz oprogramowania monitorującego. Zalecono noszenie własnego sprzętu ładującego obsługiwanego przez gniazdka elektryczne.

RPO zwraca uwagę Ministra na ten problem. Szczególną troską Rzecznika jest możliwość zainfekowania telefonu użytkownika publicznego portu USB, który w urządzeniu mobilnym ma rządowe aplikacje, np. mObywatel.

mObywatel 2.0 to aplikacja, którą od 14 lipca 2023 r. można bezpiecznie i bezpłatnie pobrać na swój smartfon. Dzięki niej załatwianie spraw urzędowych ma być - jak wynika z informacji MC  - prostsze i wygodniejsze - bez wychodzenia z domu. Umożliwia ona korzystanie z dokumentów tożsamości i załatwianie spraw urzędowych. 

Należy także przypomnieć wcześniejsze informacje dotyczące preinstalacji rządowych aplikacji na wszystkich urządzeniach mobilnych przed ich zakupem. Wówczas nie tylko osoby, które same zainstalowały aplikacje rządowe, ale wszyscy mieliby na swoich urządzeniach dostęp do najwrażliwszych - i z punktu widzenia hakerów - najbardziej pożądanych danych wszystkich obywateli posiadających zarówno telefon jak i dowód tożsamości.

Odpowiedź Pawła Olszewskiego, sekretarza stanu w MC

W odpowiedzi na wystąpienie z dnia 5 października 2023 r. dotyczące cyberataków typu “juice jacking", uprzejmie informuję, że w ramach podległego mi Ministerstwa Cyfryzacji zostały podjęte odpowiednie kroki w celu zwiększenia bezpieczeństwa cyfrowego obywateli.

„Juice jacking" jest wektorem ataku wykorzystującym złącze USB, którego obsługa jest zaimplementowana na poziomie systemu operacyjnego telefonu np. Android, iPhone. W zależności od scenariusza, atak może być oparty wyłącznie na socjotechnice, czyli nakłonieniu użytkownika do wykonania konkretnej akcji lub przy wykorzystaniu podatności w systemie operacyjnym umożliwiającej obejście mechanizmów bezpieczeństwa. W przypadku metody opartej na socjotechnice użytkownik nadaje dostęp do odczytu danych urządzenia lub pozwala na instalację dodatkowego oprogramowania, którego zadaniem będzie przejęcie kontroli nad urządzeniem. W przypadku wykorzystania podatności dostęp do urządzenia następuje bez wiedzy i bez interakcji użytkownika.

Projektując aplikację mObywatel uwzględniono zagrożenia związane z nieuprawnionym dostępem do urządzenia oraz możliwością uruchomienia złośliwego oprogramowania na urządzeniu. W tym celu zastosowano następujące, niżej opisane, mechanizmy.

Warunkiem uruchomienia aplikacji jest prawidłowe działanie urządzenia oraz systemu operacyjnego, w tym sprawdzenie, czy telefon nie został poddany operacji „rootowania", czyli obejścia podstawowych mechanizmów bezpieczeństwa zapewniających między innymi izolację pomiędzy wątkami procesora, co ogranicza możliwość dostępu do pamięci innych programów. W przypadku, gdy użytkownik poddał „rootowaniu" urządzenie, nie jest możliwe zapewnienie odpowiedniego poziomu poufności przetwarzanych danych i aplikacja nie uruchamia się.

Wykorzystanie mechanizmów kryptograficznych dostarczanych przez system operacyjny służących do zabezpieczania danych w spoczynku. Wszystkie dane są przechowywane w dedykowanym kontenerze w postaci zaszyfrowanej. Dostęp do danych możliwy jest dopiero po prawidłowym uwierzytelnieniu w aplikacji. Poza zapewnieniem poufności danych osobowych użytkownika, mechanizmy kryptograficzne zapewniają ich integralność dzięki podpisaniu ich pieczęcią ministra. W momencie opuszczania kontenera dane są dodatkowo podpisywane kluczem użytkownika.

Wykorzystanie mechanizmów kryptograficznych dostarczanych przez system operacyjny służących do zabezpieczania transmisji danych. Mowa tutaj o mechanizmach zapewniających integralność danych przekazywanych do interesariuszy oraz poufność np. poprzez mechanizm Certificate Pinning.

Bezpieczeństwo cyfrowe jest kluczowe dla naszych obywateli i dlatego podległy mi urząd podejmuje wszelkie możliwe kroki, aby zapewnić ochronę przed takimi atakami. Oprócz bieżących działań mających na celu poprawę bezpieczeństwa naszych systemów, Ministerstwo Cyfryzacji prowadzi również szereg inicjatyw edukacyjnych skierowanych do obywateli. Mają one na celu zwiększenie świadomości na temat zagrożeń cyfrowych i sposobów ich unikania.

W kontekście profilaktyki i przeciwdziałania atakom typu “juice jacking”, Ministerstwo Cyfryzacji promuje praktyki związane z unikaniem publicznych ładowarek oraz zaleca obywatelom korzystanie z prywatnych źródeł zasilania, power-banków, używanie kabli tylko do ładowania (only charge) nieprzesyłających danych cyfrowych oraz systematyczne aktualizowanie systemów operacyjnych i aplikacji.

Ponadto, prowadzone są kampanie informacyjne w mediach społecznościowych i tradycyjnych, aby dotrzeć do jak największej liczby obywateli. Wierzę, że im więcej osób będzie świadomych zagrożeń cyfrowych i sposobów ich unikania, tym bardziej wzrośnie poziom bezpieczeństwa całego społeczeństwa. Materiały edukacyjne Ministerstwa Cyfryzacji są dostępne online i są regularnie aktualizowane, aby odzwierciedlać najnowsze zagrożenia i strategie obronne.

Dalsze informacje na ten temat można znaleźć na stronie internetowej Ministerstwa Cyfryzacji oraz w materiałach edukacyjnych dostępnych dla obywateli. Zachęcam do zapoznania się z nimi w celu zwiększenia świadomości na temat zagrożeń cyfrowych i sposobów ich unikania.

RPO Marcin Wiącek: Dane użytkowników rządowych aplikacji mobilnych muszą być odpowiednio chronione

Cyberataki, czyli nieuprawnione próby pozyskiwania danych i informacji lub chęć przejęcia nad nimi kontroli, to jedno z największych zagrożeń XXI wieku. I to nie tylko w  skali globalnej. Ofiarą cyberataku może paść każdy z nas. 

W smartfonach przechowujemy swoje dane. Również te najbardziej osobiste i wrażliwe. Za ich pomocą legitymujemy się w urzędach i płacimy za zakupy. To są niezwykle przydatne innowacje, ale niestety sprawiają one, że wzrasta też zainteresowanie cyberprzestępców naszymi telefonami. 

Coraz częściej w przestrzeni publicznej widzimy porty USB, do których możemy podpiąć telefon, tablet lub laptop, żeby naładować baterię. Takie gniazdka pojawiają się na przykład na przystankach autobusowych, w środkach transportu publicznego czy w galeriach handlowych.

Tymczasem publiczny port USB może zostać wcześniej przejęty przez hakera. Gdy podłączymy do niego swoje urządzenie, taki haker może uzyskać do niego pełen dostęp i zainstalować złośliwe oprogramowanie. Taki cyberatak to tzw. juice jacking.

Haker może wtedy skopiować dane wrażliwe, śledzić urządzenie, a nawet ukraść naszą tożsamość. Są też sposoby na zeskanowanie smartfona w poszukiwaniu konkretnych informacji, takich jak hasła do kont czy dane związane z bankowością elektroniczną. W tym dane karty płatniczej. Uzyskanie tych danych zajmuje hakerowi zaledwie ułamek sekundy. A taki cyberatak niezwykle głęboko ingeruje w prywatność.

Możliwość zainfekowania telefonu przez publiczny port USB staje się szczególnie niebezpieczna, jeśli w urządzeniu są zainstalowane rządowe aplikacje np. mObywatel. Dlatego zwróciłem uwagę Ministra Cyfryzacji na ten problem. 

Obywatele powinni mieć pewność, że dane przechowywane w aplikacjach rządowych są zabezpieczone przed nieuprawnionym dostępem i przejęciem poprzez ataki typu juice jacking.

Każdy, kto instaluje na swoich urządzeniach elektronicznych rządowe aplikacje, powinien mieć gwarancję, że jego dane będą odpowiednio chronione.

VII.501.165.2023