漏洞概述

学生兼网络安全研究员Robin Justin在申请印度驾照时，发现交通部门户网站Sarathi Parivahan存在严重安全漏洞。通过漏洞组合利用，攻击者可获取公民个人身份信息（PII）并伪造政府认证的驾驶执照。

漏洞链分析

第一阶段：端点权限失控

• 身份验证仅需申请号和出生日期即可通过
• 应用程序状态检查端点存在缺陷，允许通过随机申请号获取申请人姓名、地址、驾照编号及照片
• 发现第二个漏洞端点：仅凭电话号码和出生日期即可查询到对应申请号

第二阶段：公开管理功能暴露

• 本应受限的管理员功能公开可访问，可直接下载申请人上传的证件材料
• 结合第一阶段漏洞，实现通过电话号码和出生日期访问任意印度公民的敏感文档

第三阶段：OTP系统失效

• 在向印度计算机应急响应小组（CERT-IN）报告无果后，发现SYSADMIN账户的OTP验证存在缺陷
• 成功登录管理员账户后获得权限包括：
  • 申请人信息搜索和文档查看
  • 无需现场验证即可处理申请
  • 修改驾照信息权限
  • 访问地方交通局政府员工PII

影响范围

• 可访问1.85亿持照印度公民的Aadhaar身份证、护照等关键文档
• 能够无限生成合法政府认证的驾驶执照

时间线

• 2022年11月7日提交初始漏洞报告
• 2022年12月5日提交管理员账户漏洞补充报告
• 2023年1月25日确认漏洞修复完成

后续进展

研究员未因漏洞披露面临法律后果，但CERT-IN仅通过自动回复确认漏洞修复，未提供额外致谢。目前Sarathi Parivahan平台漏洞已修复。