Τρύπα ασφαλείας στο Gov.gr Wallet πήρε μήνες για να κλείσει

Μόλις 75 λεπτά χρειάστηκαν στον Ανδρόνικο Κουτρουμπέλη, πτυχιούχο του τμήματος Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών, να εντοπίσει και να επαληθεύσει μια κρίσιμη ευπάθεια στο Gov.gr Wallet, η οποία είναι εγκατεστημένη σε εκατομμύρια κινητά στην Ελλάδα. 

Η ευπάθεια εντοπίστηκε με τη βοήθεια του AI agent Codex και φαίνεται πως είχε διαφύγει των ελέγχων του ιδιοκτήτη του συστήματος, δηλαδή του υπουργείου Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης, για περισσότερους από έξι μήνες – πιο συγκεκριμένα, από τον Σεπτέμβριο του 2025, όταν ανέβηκε η έκδοση 3.0.0. Η τρύπα αλλά και η καθυστέρηση στο κλείσιμό της εγείρουν ερωτήματα για το τι είδους έλεγχοι ασφαλείας γίνονται και από ποιους στα παραδοτέα στο υπουργείο. 

Ο Κουτρουμπέλης δεν έμεινε στα ευρήματα του AI agent· επιβεβαίωσε την τρύπα ασφαλείας και προσωπικά και ευθύς αμέσως ενημέρωσε την Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ), η οποία υπάγεται στο υπουργείο. Αυτό έγινε στις 30 Μαρτίου. Η ΕΑΚ απάντησε άμεσα λέγοντας ότι ενημέρωσε τους αρμόδιους στο υπουργείο, κρίνοντας πως είναι σχετικά εύκολο να εκμεταλλευτεί κάποιος κακόβουλος αυτό το κενό. Και μετά σιωπή. 

Η αναφορά έγινε στο πλαίσιο του οργανισμού εγκυρότητας πληροφοριών FactReview που έχει συνιδρύσει ο Κουτρουμπέλης. To FactReview είναι φορέας διαπιστευμένος ευρωπαϊκά για την επισήμανση επικίνδυνου υλικού (DSA Trusted Flagger) και προκλήσεων ελευθερίας τύπου (European Democracy Shield).

Οι τεχνικοί κυβερνοασφάλειας στους οποίους απευθύνθηκα ισχυρίζονται ότι ήταν θέμα λίγων λεπτών να επιδιορθωθεί αυτό το κενό.  

Image

Χρειάστηκε όμως να φτάσουμε στην Τετάρτη 22 Απριλίου, ώστε το κενό ασφαλείας επιτέλους να κλείσει, μετά από 24 ολόκληρες ημέρες, αφού είχαν μεσολαβήσει και οι ερωτήσεις του inside story την ίδια ημέρα για το θέμα και σύμφωνα με πληροφορίες ασκήθηκαν εκ νέου πιέσεις και από την ΕΑΚ – αυτή τη φορά όχι στο υπουργείο, αλλά απευθείας στην εταιρεία-ανάδοχο COGNITY. 

Στο μεταξύ στις 8 Απριλίου παρεμβλήθηκε και υπόδειξη της εφαρμογής Gov.gr Wallet για επαλήθευση ηλικίας του συνόλου των πολιτών, στο πλαίσιο συνέντευξης Τύπου που παραχώρησαν οι υπουργοί Υγείας Άδωνις Γεωργιάδης, Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης Δημήτρης Παπαστεργίου και Επικρατείας Άκης Σκέρτσος για το νέο πλαίσιο ρυθμίσεων για την πρόσβαση των ανηλίκων στα social media.

Image

To πρόβλημα ασφαλείας που εντοπίστηκε στην εφαρμογή Gov.gr Wallet αφορά κινητά Android, χωρίς να αποκλείεται η ίδια ευπάθεια να υπάρχει και στην εφαρμογή για iOS, όπου όμως δεν υπάρχουν διαθέσιμοι αντίστοιχοι τρόποι ελέγχου. Με βάση τα στατιστικά από το Google Play, η εφαρμογή έχει κατέβει πάνω από 1 εκατ. φορές σε κινητά Android. 

Το κενό ασφαλείας 

Μοιράστηκα εμπιστευτικά τα ευρήματα και τη μεθοδολογία του Κουτρουμπέλη με τρεις ανεξάρτητους τεχνικούς κυβερνοασφάλειας, οι οποίοι επιβεβαίωσαν την ακρίβειά τους. Ο ίδιος τα γνωστοποίησε και στην Google (Play and Android Security Team), που του απάντησε ότι θα διενεργήσει τη δική της έρευνα και θα μοιραστεί μαζί του τα ευρήματά της. 

Επιγραμματικά, πρόκειται για κενό το οποίο αν είχε αξιοποιηθεί από επιτήδειους θα μπορούσε να επιφέρει σημαντική ζημιά και παραβίαση προσωπικών δεδομένων των χρηστών της εφαρμογής Gov.gr Wallet, με κυριότερη την υφαρπαγή των κωδικών taxisnet. Υπενθυμίζεται ότι η εφαρμογή έχει πρόσβαση σε πολλές προσωπικές πληροφορίες και έγγραφα όπως: προσωπικός αριθμός, ψηφιακά έγγραφα του χρήστη (ταυτότητα, άδεια οδήγησης), έγγραφα που εκδίδονται μέσω της εφαρμογής και μέσω gov.gr, πρόσβαση σε όλες τις υπηρεσίες που παρέχονται μέσω gov.gr, πρόσβαση στο Εθνικό Μητρώο Επικοινωνίας για την αλλαγή των στοιχείων κ.ά. 

Πιο συγκεκριμένα, για αδικαιολόγητα μεγάλο χρονικό διάστημα –έξι και πλέον μηνών– υπήρχε επιβεβαιωμένο και αναπαράξιμο κενό παράκαμψης μιας δικλείδας ασφαλείας (TLS στο embedded WebView) του Gov.gr Wallet (στις εκδόσεις 3.0.0–3.1.4), που επέτρεπε σιωπηλή παρέμβαση (tampering/phishing) σε εχθρικό δίκτυο υπό τη συνδρομή προϋποθέσεων. 

Eιδικότερα: εφόσον ο χρήστης επέλεγε το μενού επεξεργασίας στοιχείων, το εκάστοτε δίκτυο ίντερνετ (WiFi ή δεδομένα αν παραβιαστεί κεντρικά ο πάροχος) μπορούσε αόρατα να τον ανακατευθύνει οπουδήποτε, είτε για phishing των κωδικών Taxisnet, είτε για βαθύτερη παραβίαση εφόσον συνδυαζόταν με κάποια άλλη ευπάθεια. Για παράδειγμα κακόβουλος με τεχνικές γνώσεις μπορούσε να ενεργοποιήσει το μικρόφωνο της συσκευής και να υποκλέψει φυσική συνομιλία την ώρα που βρισκόταν κάπου το κινητό.

«Παραδόξως, από ανάλυση του κώδικα, προκύπτει επί τούτου επιλογή του προγραμματιστή να προσπεράσει τυχόν κρίσιμη προειδοποίηση ασφαλείας, κάτι που τα Android docs επισημαίνουν ως επικίνδυνη πρακτική», αναφέρει ο Ανδρόνικος Κουτρουμπέλης, που στην ανάλυσή του παραθέτει την παρακάτω φωτογραφία: 

Image

Το ρίσκο εκ πρώτης όψης μπορεί να ήταν οριοθετημένο, αφού χρειαζόταν να γίνουν συνδυαστικά και ενέργειες από τον χρήστη της εφαρμογής, αλλά όταν μιλάμε για μια εφαρμογή με οριζόντια διείσδυση στην πλειοψηφία των πολιτών, όπως είναι το Gov.gr Wallet, μηχανικοί κυβερνοασφάλειας στους οποίους απευθύνθηκα αναφέρουν ότι το προφίλ ρίσκου αυξάνεται εκθετικά.

Με τον Κουτρουμπέλη ήμασταν σε καθημερινή επικοινωνία από τις 6 Απριλίου για το θέμα, περιμένοντας από στιγμή σε στιγμή ότι το υπουργείο, μιας και ήταν ενήμερο από τις 30 Μαρτίου, θα επιδιόρθωνε το πρόβλημα. Μάταια βλέπαμε τις ημέρες να περνούν. Είχαμε πάρει την απόφαση για λόγους ασφαλείας των χρηστών να μην είμαστε εμείς που θα γνωστοποιήσουμε πρώτοι την ευπάθεια στο ευρύ κοινό, προτού αυτή «μπαλωθεί». 

Το μεσημέρι της Τετάρτης 22 Απριλίου ανέβηκε νέα ενημέρωση της εφαρμογής στο Google Play. «Σημαντικό για το Wallet, μόλις δημοσιεύτηκε η τελευταία έκδοση 3.1.4. Και το κενό ασφαλείας δεν έκλεισε! Πραγματικά μένω άφωνος», μου έγραψε ο Κουτρουμπέλης. Λίγες ώρες μετά έστειλα τις ερωτήσεις στο υπουργείο, τονίζοντας ότι θα προχωρήσουμε άμεσα σε δημοσίευση. Το βράδυ της Τετάρτης ανέβηκε νέα έκδοση, η 3.1.5 – δεύτερη μέσα στην ίδια μέρα. «Κανείς δεν βγάζει back-to-back δύο αναβαθμίσεις με τέτοιο χρονικό κενό, η 3.1.3 είχε βγει τον Ιανουάριο» μου είπε ο Κουτρουμπέλης.

Το κενό όμως είχε επιτέλους κλείσει.

Τα ερωτήματα που έμειναν αναπάντητα 

Θέσαμε στο υπουργείο Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης και προσωπικά στον υπουργό Δημήτρη Παπαστεργίου πλήθος ερωτήσεων (δείτε εδώ αναλυτικά), αλλά οι απαντήσεις που πήραμε ήταν περιορισμένες.

Μεταξύ άλλων ρωτάμε: 

• Ποια είναι η τεκμηριωμένη αιτία της καθυστέρησης στο κλείσιμο του κενού ασφαλείας; 

• Όπως αναφέρουν ειδικοί στο inside story, πρόκειται για απλό, τυπικό εύρημα. Οποιοδήποτε στοιχειώδες static code scanner [...] ή βασικό manual security review θα το εντόπιζε αυτόματα. Το ότι έφτασε σε παραγωγή και παρέμεινε σε τέσσερις διαδοχικές εκδόσεις (3.0.0- 3.1.4) δεν αποτελεί ένδειξη εξεζητημένης ευπάθειας που «γλίστρησε» – αποτελεί ένδειξη απουσίας βασικών ελέγχων ποιότητας κώδικα. Πώς σχολιάζετε;  

• Η σύμβαση με την εταιρεία ανάδοχο (COGNITY AE) προέβλεπε τα ελάχιστα μέτρα ασφάλειας (ISO 27001, OWASP MASVS ή ισοδύναμα πρότυπα για mobile εφαρμογές); Τι ακριβώς απαιτούσε η σύμβαση και με ποιον τρόπο πιστοποιήθηκε η συμμόρφωση;

• Αθροιστικά πόσο έχει κοστίσει η δημιουργία και οι αναβαθμίσεις της εφαρμογής;

• Σε άλλες χώρες οι εφαρμογές αντίστοιχου βεληνεκούς (π.χ. η ελβετική SwissCovid, η γερμανική Corona-Warn-App) δημοσίευσαν τον κώδικά τους ακριβώς, για να επιτρέψουν ανεξάρτητο έλεγχο. Ο ανοιχτός κώδικας δεν εγγυάται ασφάλεια, αλλά επιτρέπει τον δημόσιο έλεγχο – που για κρατικές εφαρμογές ταυτότητας θεωρείται καλή πρακτική διεθνώς. Στη δική μας περίπτωση γιατί δεν προτιμήθηκε; 

• Ποιος φορέας ή τρίτο μέρος εκτελεί έλεγχο ασφαλείας, δοκιμές διείσδυσης, έλεγχο κώδικα (security review, penetration testing, code audit) πριν τη δημοσίευση κάθε έκδοσης στο Play Store; Υπάρχει τεκμηριωμένη διαδικασία αποδοχής (acceptance testing);

• Ποιος φορέας του Δημοσίου ελέγχει την ορθότητα της υλοποίησης και την πλήρωση των συμβατικών απαιτήσεων; Με ποια μεθοδολογία και περιοδικότητα;

• Έχετε ελέγξει ή σκοπεύετε να ελέγξετε αν τα προσωπικά δεδομένα / στοιχεία χρηστών της εφαρμογής έχουν υποκλαπεί χάρη σε αυτήν την ευπάθεια που υπάρχει από τον Σεπτέμβριο του 2025;

Παραθέτουμε αυτούσια την απάντηση του υπουργείου: 

«Το Υπουργείο Ψηφιακής Διακυβέρνησης ενημερώθηκε για το συγκεκριμένο τεχνικό εύρημα μέσω της Εθνικής Αρχής Κυβερνοασφάλειας, στο πλαίσιο υπεύθυνης γνωστοποίησης από ερευνητή.

Με την επιβεβαίωση και τεχνική τεκμηρίωση του ζητήματος, ενεργοποιήθηκαν άμεσα οι προβλεπόμενες διαδικασίες και, σε συντονισμό με τις αρμόδιες υπηρεσίες, η Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης προχώρησε στις απαραίτητες διορθωτικές παρεμβάσεις. Η συγκεκριμένη ευπάθεια έχει ήδη αντιμετωπιστεί πλήρως.

Επισημαίνεται ότι:

• Δεν υπήρξε καμία διαρροή ή έκθεση προσωπικών δεδομένων χρηστών.

• Δεν καταγράφηκε περιστατικό εκμετάλλευσης της συγκεκριμένης τεχνικής αδυναμίας.

• Η εφαρμογή διαθέτει πολυεπίπεδη αρχιτεκτονική ασφαλείας, η οποία διασφαλίζει την προστασία των χρηστών ακόμη και σε περιπτώσεις μεμονωμένων τεχνικών ευρημάτων.

Σε όλα τα σύγχρονα πληροφοριακά συστήματα, η ασφάλεια αποτελεί μια δυναμική διαδικασία συνεχούς ελέγχου και βελτίωσης, όπου νέα ευρήματα μπορεί να αναδεικνύονται μέσα από εξειδικευμένες δοκιμές ή συνδυαστικά σενάρια χρήσης.

Το Υπουργείο εφαρμόζει σταθερά τις προβλεπόμενες διαδικασίες ελέγχου και, κάθε φορά που προκύπτει τεκμηριωμένο εύρημα, προχωρά άμεσα στις απαιτούμενες ενέργειες για την πλήρη αντιμετώπισή του.

Η προστασία των ψηφιακών υπηρεσιών και των δεδομένων των πολιτών αποτελεί διαρκή προτεραιότητα και ενισχύεται συνεχώς, σε συνεργασία με θεσμικούς φορείς και την ερευνητική κοινότητα.»