Es dauerte Monate, bis die Sicherheitslücke im Gov.gr-Wallet geschlossen wurde

Στις 8 Απριλίου οι υπουργοί Υγείας Άδωνις Γεωργιάδης, Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης Δημήτρης Παπαστεργίου και Επικρατείας Άκης Σκέρτσος στη συνέντευξη Τύπου για το νέο πλαίσιο ρυθμίσεων πρόσβασης των ανηλίκων στα social media.υπέδειξαν την εφαρμογή Gov Gr Wallet για την επαλήθευση ηλικίας του συνόλου των πολιτών.

Τη στιγμή της παρουσίασης, τουλάχιστον το υπουργείο Ψηφιακής Διακυβέρνησης ήξερε ότι το Gov Gr Wallet που είναι ήδη εγκατεστημένο σε εκατομμύρια συσκευές είχε μια σημαντική τρύπα ασφαλείας που θα μπορούσε να οδηγήσει σε υφαρπαγή των κωδικών taxisnet των χρηστών και πρόσβαση σε προσωπικά τους δεδομένα. Υπό προϋποθέσεις θα μπορούσε ακόμη και να ενεργοποιήσει το μικρόφωνο του κινητού τους και να τους παρακολουθεί σε πραγματικό χρόνο (!).

Το κενό υπήρχε εκεί για ανεξήγητα πολλούς μήνες, από τον Σεπτέμβριο του 2025 και η Εθνική Αρχή Κυβερνοασφάλειας που υπάγεται υπουργείο είχε ενημερωθεί εγγράφως από τον ερευνητή και συνιδρυτή του FactReview, Andronikos Koutroumpelis στις 30 Μαρτίου ότι είχε καταφέρει να εντοπίσει την ευπάθεια σε λίγα λεπτά.

Όπως λένε τεχνικοί κυβερνοασφάλειας στο InsideStory ήταν θέμα λίγων λεπτών να διορθωθεί το πρόβλημα κι όμως χρειάστηκαν ΕΙΚΟΣΙΤΕΣΣΕΡΙΣ (24) μέρες για να κλείσει τελικά, αφού είχαν μεσολαβήσει και οι δημοσιογραφικές μας ερωτήσεις. Σοβαρά ερωτήματα εγείρονται για το τι έλεγχοι γίνονται στα παραδοτέα στο υπουργείο και πώς ένα τέτοιο κενό πέρασε απαρατήρητο. Tο υπουργείο στις απαντήσεις του δεν εξηγεί πώς έγινε αυτό ούτε γιατί άργησε τόσο να κλείσει το κενό ασφαλείας.

Όπως σχολιάζει ο Stamos Archontis από το FactReview, «Αν πρέπει να βασιζόμαστε σε εθελοντές για το cybersecurity εφαρμογών που πληρώνουμε μέσω φόρων, υπάρχει θέμα. Στην τελική, τουλάχιστον κάντε τις εφαρμογές open source, για να μην πρέπει να κάνουμε κωδικοακροβατικά για να βρίσκουμε τρύπες ασφαλείας».

[https://insidestory.gr/article/trypa-asfaleias-sto-govgr-wallet-pire-mines-gia-na-kleisei](https://insidestory.gr/article/trypa-asfaleias-sto-govgr-wallet-pire-mines-gia-na-kleisei)

Τέτοια τάξη τέτοια αλφαδια, δεν την έχω ξαναδεί.

Θα ήθελα και εγώ να εξηγήσει τι παίζει.
Από αυτό που ανακοίνωσε επειδή είναι πολύ γενικό, μάλλον θέλει κάποιο man in the middle, ή κάτι τέτοιο για να ελέγχει το response χωρίς root, αλλα και πάλι από ότι θυμάμαι είχε certificate pinning γενικά χωρίς να έχω ασχοληθεί βέβαια ιδιαίτερα με το bypass. Αλλά και πάλι θέλει κάποιο Frida hook. Πολύ γενικό issue

Σιχαίνομαι αυτή τη κυβέρνηση παραπάνω από κάθε τι σε αυτόν τον κόσμο, παρ‘ όλ‘ αυτά το άρθρο είναι δημοσιογραφική παπαρια.

1. Από την αναφορά της ευπάθειας μέχρι τη διόρθωση πήρε 20 μέρες περίπου. Μιλάμε για εφαρμογή σε κινητά όπου η διαδικασία δημοσίευσης νέας έκδοσης παίρνει καποιες φορές μέχρι και εβδομάδες
2. Δεν αναφέρεται πουθενά τι είδους ευπάθεια υπήρξε για να αξιολογηθεί. Ολα τα reports εφόσον έχουν πλέον φτιαχτεί πρέπει να αξιολογούνται ανεξάρτητα αλλιώς είναι δημοσιεύματα καφενείου
3. Τα 75 λεπτά που πήρε στον ερευνητή για να βρεθεί το πρόβλημα δεν λένε κυριολεκτικά τίποτα, ειδικά εφόσον χρησιμοποιήθηκε κάποιος agent. Η συγκεκριμένη έρευνα μπορεί να έκαψε χιλιάδες δολάρια σε tokens.

Και εδώ έρχεται η πλήρης απογοήτευση μου κυρίως για μέσα όπως το inside story όπου τα θεωρώ αξιοπρεπή σε σχέση με τον υπόλοιπο οχετό που κυκλοφορεί. Κυρίως γιατί αναγνωρίζω πως σε θέματα που άπτονται του επιστημονικού μου ενδιαφέροντος μπορώ να καταλάβω πως γράφουν ηλιθιότητες. Και το οποίο εν τελεί με κάνει να αμφισβητώ το υπόλοιπο έργο τους.