Активисты говорят, что нашли уязвимость в планшетах патрульных. Она позволяет манипулировать вызовами полицейских

Что такое LIS-M

«Логистическая информационная система — мобильная LIS-M» — программное обеспечение для планшетов патрульных полицейских. По словам Важницкого, это основная программа для патрульных: она позволяет управлять вызовами (показывать очередь вызовов, сортировать их по важности и местоположению, показывать контактные данные вызывающего, брать вызовы и так далее), а также открывает доступ к реестрам: транспортных средств, оружия, «АРМОР» и другим. 

Как выглядит программа LIS-M. Фото — news.pn

Важницкий отмечает, что LIS-M установлена на всех планшетах патрульных, как минимум, в областных центрах и крупных городах. Информации о закупках альтернативных решений нет. 

Согласно информации, указанной на странице одного тендера по поставке LIS-M в системе Prozorro, с марта 2015 года имущественными правами на эту программу владеет ООО «С.І.Т. Центр „Веб-Континент“» (далее — «Веб-Континент»). Там же отмечается, что с мая 2017 года «Веб-Континент» является единственным полномочным распространителем LIS-M, а активация софта происходит только через сайт  www.webcontinent[.]com[.]ua (сейчас он недоступен, активисты предупреждают, что заходить на него опасно). 

Согласно данным с Prozorro, всего «Веб-Континент» выиграл девять тендеров по поставке LIS-M в семь областных управлений Нацполиции. Общая сумма закупок превысила 1 млн грн. 

В чем заключается уязвимость 

Важницкий отмечает, что проблема кроется в сервере сайта «Веб-Континент». По его словам, этот сервер отвечал за загрузку LIS-M на планшеты и формирование уникальных криптоключей для каждого устройства отдельно. Уязвимость же заключается в том, что ключи лежали на сервере в открытом виде. 

Другими словами, получив доступ к серверу «Веб-Континент», злоумышленники могли подключиться к каждому планшету патрульных полицейских. А хактивист уверен — взломать сервер мог кто угодно, настолько он был уязвим. 

Важницкий подчеркивает, что нашел уязвимость еще в феврале этого года. Вместе с «КиберАльянсом» он направил информацию в МВД и СБУ, но реакции на обращение так и не последовало. 

Что происходит сейчас

Сейчас сайт «Веб-Континента» недоступен. Важницкий говорит, что это может свидетельствовать о двух фактах — либо полиция перешла на региональные сервера (на это указывает ряд косвенных признаков), либо сервер компании действительно был взломан. В «КиберАльянсе» отметили, что склоняются ко второму варианту. Впрочем, до сих пор остается неизвестно, взломали ли хакеры планшеты патрульной полиции. 

В то же время Важницкий подчеркивает, что в любом случае проблема не устранена — программу нужно полностью переписывать, используя другой подход. 

Редакция AIN.UA обратилась в Киберполицию с просьбой прокомментировать ситуацию, но не получила оперативного ответа. 

Ранее AIN.UA сообщал, что Valve заплатила украинцу $20 000 за найденную уязвимость в Steam.