नागरिक एपको सुरक्षामा प्रश्न, के साँच्चै जोखिममा छ त प्रयोगकर्ताको विवरण ?

काठमाडौँ । केही दिनयता सामाजिक सञ्जालमा सरकारी डिजिटल सेवा नागरिक एपमा ‘गम्भीर सुरक्षा कमजोरी’ फेला परेको दाबीसहितका सामग्री फैलिएका छन् । साइबर सुरक्षा अनुसन्धानकर्ता निश्चल लामिछानेले यस विषयलाई उठाएपछि अहिले यो विषय बहसको केन्द्र बनेको छ ।

यसबारे विभिन्न अनुसन्धानकर्ताले प्राविधिक विश्लेषण र प्रतिवेदन सार्वजनिक गरेका छन् भने एप व्यवस्थापन पक्षले प्रणाली नै जोखिममा पर्ने खालको सुरक्षा उल्लङ्घन (सेक्युरिटी ब्रिच) नभएको दाबी गरेको छ ।

अनुसन्धानकर्ता लामिछानेले नागरिक एपको कन्फिगेरेसन फाइल ‘डट इएनभी’ बाहिरिएकाले संवेदनशील विवरण खुला रूपमा देखिएको दाबी गरे । “यो इएनभी फाइल (.env) भनेको एप्लिकेसन चलाउन प्रयोग हुने आवश्यक फाइल हो, जसमा एपीआई की, डेटाबेस पासवर्ड र इन्क्रिप्सनका लागि चाहिने सिक्रेट कीहरू हुन्छन्,” लामिछानेले भने, “यस्ता कुरा कहिल्यै पनि प्रोडक्सन सर्भरबाट बाहिर आउनु हुँदैन, तर डेभलपर वा प्ले स्टोरमा अपलोड गर्नेले चेक गर्न बिर्सेका कारण यो बाहिरिएको जस्तो देखिन्छ ।”

लामिछानेले क्यूआर कोडको इन्क्रिप्सन, सवारी दर्ता प्रणाली (भीटीएस) को क्लाइन्ट विवरण र ब्याकइन्डको आईपी एड्रेससमेत सार्वजनिक भएको उल्लेख गरे । “यसले अर्को अकाउन्ट सिधै ह्याक गर्ने भन्दा पनि सिस्टम नै डाउन गर्ने र क्युआर प्रणालीलाई कम्प्लिटली बाइपास गर्न मिल्ने खाले इम्प्याक्ट पार्न सक्छ,” उनले थपे, “यो बगभन्दा पनि अथेन्टिकेसन र इन्क्रिप्सन प्रणालीको जग नै एक्सपोज भएको अवस्था हो र यसलाई फिक्स गर्न पुराना सबै भर्सन फालेर इन्क्रिप्सन पार्ट मिलाउनुपर्ने देखिन्छ ।”

यता नागरिक एपको प्राविधिक टिम भने यो विषयलाई गम्भीर सुरक्षा ब्रिच मान्न तयार छैन । एपका प्रतिनिधिले टेकपानासँग भने, “यो कुनै सेक्युरिटी ब्रिच होइन ।” उनका अनुसार यो केवल फ्रन्टइन्डको इएनभी फाइल मात्र हो र त्यहाँ भएका कतिपय एपीआई एन्डपोइन्ट सार्वजनिक विवरण नै हुन् ।

पुराना र निष्क्रिय विवरणका बारेमा स्पष्ट पार्दै उनले थपे, “त्यो भीटीएसको क्रेडिन्सियल भएको सिस्टम डाउन भएको नै तीन वर्ष भइसक्यो, हामीले कोड क्लिन गर्दा हटाउन बिर्सेका हौँ र त्यसमा अनुसन्धानकर्ताको नजर परेको हो ।” उनले प्रयोगकर्ताको सहमतिबिना प्रणालीभित्र कोही पनि पस्न नसक्ने दाबी गर्दै भने, “हामी सेक्युरिटी ब्रिचिङ नै भएको भए त तुरुन्तै एप अपडेट पठाउँथ्यौँ नि, ती विवरणहरू अहिले काम नलाग्ने अवस्थामा छन् र यसले हालको प्रणालीमा कुनै असर गर्दैन ।”

 

उता आफूलाई ‘नरसिंहा’ उपनामले चिनाउने अर्का सुरक्षा अनुसन्धानकर्ताले सरकारी पक्षको बचाउलाई लापरबाहीको संज्ञा दिएका छन् । “उनीहरूले जे भने पनि त्यो लापरबाही नै हो, इएनभी जस्तो संवेदनशील फाइल राखेर हामी कहिल्यै पनि एपीके अपलोड गर्दैनौँ,” उनले भने, “प्रणाली डाउन छ भन्दैमा असुरक्षित विवरण राख्नु हुँदैन, डाउन भए पनि भोलि अप हुँदा सप्लाई चेन अट्याकको जोखिम रहन्छ । यसरी फाइल छाड्नु कमजोरी नै हो ।”

नरसिंहाले सुरक्षा टुल ‘MobSF’ प्रयोग गरेर नागरिक एपको एन्ड्रोइड भर्सन २.०.१०६ माथि गरिएको प्राविधिक जाँचको प्रतिवेदन सार्वजनिक गरेका छन् । उनले भने, “यो रिपोर्टले नागरिक एपमा कुनै भाइरस छ भन्न खोजेको होइन, यसले केवल एप बनाउँदाका प्राविधिक कमजोरीहरू देखाएको हो ।” 

के छ रिपोर्टमा ?

उक्त रिपोर्टअनुसार ४५.१ एमबी साइजको यस एपले १०० मा केवल ४९ अंक पाएको छ भने यसलाई मध्यम जोखिम  अर्थात श्रेणीको ‘बी ग्रेड’ मा राखिएको छ । रिपोर्टमा तीनवटा उच्च जोखिमयुक्त, १८ वटा मध्यम जोखिमयुक्त, चारवटा सामान्य जानकारीमूलक र चारवटा हटस्पट त्रुटि फेला परेको उल्लेख छ ।

एपको म्यानिफेस्ट विश्लेषणका क्रममा दुईवटा विषयलाई उच्च जोखिमको श्रेणीमा राखिएको छ । पहिलो कमजोरीका रूपमा यो एप एन्ड्रोइड ७.० जस्तो पुरानो र सुरक्षा अपडेट नपाउने संस्करणमा पनि चल्ने गरी न्यूनतम एसडीके २४ (minSdk=24) मा तयार गरिएको छ जसले गर्दा पुराना डिभाइसमा सुरक्षा जोखिम बढ्ने प्रतिवेदनमा औंल्याइएको छ ।

दोस्रो उच्च जोखिमको कमजोरीका रूपमा एपमा ‘क्लियर टेक्स्ट ट्राफिक’ (usesCleartextTraffic=true) छ, जसले गर्दा कतिपय डेटा असुरक्षित रूपमा ‘HTTP’ माध्यमबाट आदानप्रदान हुँदा ‘म्यान-इन-द-मिडल’ वा नेटवर्क ट्राफिक चियाउने र डेटा परिवर्तन गर्नेसम्मको जोखिम रहन्छ । 

यसबाहेक फायरबेस मेसेजिङ र ‘सिस्टम जब सर्भिस’सँग सम्बन्धित ब्रोडकास्ट रिसिभर डिभाइसका अन्य एपसँग सुरक्षित टुलविना नै शेयर भइरहेको चेतावनी समेत प्रतिवेदनमा दिइएको छ ।

कोड विश्लेषणका क्रममा डेटा सुरक्षाका लागि प्रयोग गरिएको इन्क्रिप्सन पद्धतिमा ‘गम्भीर प्राविधिक त्रुटि’ फेला परेको रिपोर्टमा उल्लेख छ । सो रिपोर्टका अनुसार एपमा सीबीसी मोड (CBC with PKCS5/PKCS7 padding) प्रयोग गरिएकाले यो ‘प्याडिङ ओरकल अट्याक’ (Padding Oracle Attack) को उच्च जोखिममा रहेको छ ।

यसैगरी एपले डेटा सुरक्षित राख्न कमजोर र्यान्डम नम्बर जेनेरेटर प्रयोग गरेको, कमजोर ह्यासिङ एल्गोरिदम (SHA-1 र MD5) को प्रयोग गरेको र SQLite डेटाबेसमा सिधै रअ (Raw) कोइरी चलाएकाले ‘एसक्यूएल इन्जेक्सन’ (SQL Injection) को जोखिम रहेको उल्लेख छ । 

प्रयोगकर्ताका विवरण मोबाइलको बाहिरी स्टोरेजमा पढ्न र लेख्न सक्ने सुविधा भएकाले अन्य असुरक्षित एपले पनि ती डेटा पढ्न सक्ने चेतावनी यसमा छ ।

एपको कोडभित्रै रहेका हार्डकोडेड विवरण र फायरबेस डेटाबेस विश्लेषणका क्रममा धेरै संवेदनशील विवरण खुला रूपमा फेला परेको रिपोर्टमा दाबी गरिएको छ । एपले सोझै ‘nagarik-app.firebaseio.com’ नामक डेटाबेससँग सञ्चार गर्ने गरेको र ‘फायरबेस रिमोट कन्फिग’ प्रणाली सञ्चालन रहेको प्रतिवेदनमा देखिन्छ ।

यस रिमोट कन्फिगभित्र नेपाल सरकारका विभिन्न सेवाका सर्भर यूआरएल, डेभलपमेन्ट सर्भरका लिङ्क र सवारी दर्ता प्रणाली (भीआरएस) को ‘VRS_CLIENT_ID’ र ‘VRS_CLIENT_SECRET’ रूपमा समेटिएका छन् ।

सबैभन्दा संवेदनशील पक्षका रूपमा क्यूआर कोड इन्क्रिप्सनका लागि प्रयोग गरिने मुख्य की ‘QR_ENCRYPTION_KEY’ र ‘QR_ENCRYPTION_IV’ समेत यसै कन्फिग विवरणभित्र फेला परेको प्रतिवेदनमा उल्लेख छ ।

अनुमतिका सन्दर्भमा नागरिक एपले मोबाइलबाट कुल २५ मध्ये ११ वटा यस्ता अनुमति लिने गर्दछ, जसलाई मालवेयरले अत्यधिक दुरुपयोग गर्ने गर्न सक्ने औंल्याइएको छ । यसमा जीपीएस तथा नेटवर्कमा आधारित सूक्ष्म लोकेसन (ACCESS_FINE_LOCATION), क्यामेरा, अडिओ रेकर्डिङ, बाहिरी स्टोरेजमा ‘राइट एन्ड रिड’ सुविधा तथा मोबाइल बुट हुँदा स्वतः एप सुरु हुने अनुमति समावेश छन् ।

त्यस्तै एपभित्र गुगल क्र्यासलाइटिक्स र गुगल फायरबेस एनलाइटिक्स गरी दुईवटा ट्र्याकर्स फेला परेका छन्, जसले एप क्र्यास भएको विवरण र प्रयोगकर्ताको व्यवहार सम्बन्धी डेटा विश्लेषण गर्छ ।

सुरक्षा अनुसन्धानकर्ता नरसिंहाले व्यवस्थापन पक्षको बचाउमा प्रतिप्रश्न गर्दै एप विकासको कमजोरी औंल्याए । “सवारी दर्ता प्रणाली बन्द भएको भए पनि त्यसको क्लाइन्ट आईडी र क्लाइन्ट सिक्रेट जस्ता विवरण कोडभित्र राखिरहनु लापरवाही हो,” उनले भने, “सबैभन्दा चिन्ताजनक कुरा क्यूआर कोडको इन्क्रिप्सन की र इनिसियलाइजेसन वेक्टर जस्ता विवरण यसरी खुला छाडिँदा प्रणालीको विश्वसनीयतामा नै धक्का लाग्छ ।”

उनले यस प्रतिवेदनले एपमा तत्कालै भाइरस भएको पुष्टि नगरे पनि निर्माण गर्दा अपनाइएको कमजोर सुरक्षा मापदण्ड र लापरबाहीलाई स्पष्ट पारेको दाबी गरे ।

यता नागरिक एपको व्यवस्थापन पक्षले भने यस प्रतिवेदन अध्ययन गर्ने र आवश्यक पर्ने सुधारका विषयलाई लागु गर्ने बताएको छ । “यो प्रतिवेदन ठिकै छ,” नागरिक एपका प्रतिनिधिले भने, “हामी अध्ययन गर्छौं । हाम्रो सेक्युरिटी टिमलाई पनि यो रिपोर्ट पठाइसकिएको छ । आवश्यक सुधारका पक्ष लागु गर्छौं ।”

पछिल्लो अध्यावधिक: जेठ २७, २०८३ २२:७

टिप्पणीहरू