Vācijas eID karšu sistēma ir neaizsargāta pret tiešsaistes identitātes viltošanu

  • Oct 18, 2023

Tīmekļa bibliotēkas ievainojamība ļauj uzbrucējiem viltot elektroniskās ID karšu identitātes.

vācu-eid-card.jpg
Attēls: Bund.de

Drošības pētnieki ir atklājuši ievainojamību sistēmas mugurkaulā elektroniskās ID (eID) kartes sistēma, ko izmanto Vācijas valsts. Ievainojamība, ja tā tiek izmantota, ļauj uzbrucējam apmānīt tiešsaistes vietni un krāpt cita Vācijas pilsoņa identitāti, izmantojot eID autentifikācijas iespēju.

Drošība

  • 8 ļoti drošu attālināto darbinieku ieradumi
  • Kā atrast un noņemt spiegprogrammatūru no tālruņa
  • Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
  • Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk

Ir daži šķēršļi, kas uzbrucējam jāpārvar, pirms ļaunprātīgi izmanto šo ievainojamību, taču pētnieki, kuri to atklāja, saka, ka viņu eID viltošanas uzlaušana ir vairāk nekā iespējama.

Ievainojamība neslēpjas radiofrekvences identifikācijas (RFID) mikroshēmā, kas ir iegulta Vācijas eID kartes, bet programmatūras komplektā, ko ieviesušas vietnes, kas vēlas atbalstīt eID autentifikācija.

Ievainojamais komponents tiek nosaukts par Governikus Autent SDK, un tas ir viens no SDK, ko vācu valodā. tīmekļa vietnes, tostarp valdības portāli, ir izmantojušas, lai pievienotu atbalstu uz eID balstītai pieteikšanās un reģistrācijai procedūras.

SEC Consult, Vācijas kiberdrošības uzņēmums, kas atklāja šī SDK trūkumu, saka, ka tas jau ir ziņojis par problēmu CERT-Bund (Vācijas Computer Emergency Response Team), kas saskaņoja ar pārdevēju Governikus, lai šī gada augustā izdotu ielāpu — Autent SDK v3.8.1.2. gadā.

Visas vietnes, kurās tiek izmantots Autent SDK 3.8.1 un vecākas versijas, ir neaizsargātas pret atklāto ievainojamību, šodien paziņojumā norādīja SEC Consult. Ziņot, iesakot vietņu īpašniekiem atjaunināt savu Autent SDK uz jaunāko versiju, ja viņi to vēl nav izdarījuši.

Kā ievainojamība darbojas

Saskaņā ar uzņēmuma ziņojumu, ievainojamība ir saistīta ar to, kā vietnes tiek galā ar atbildēm, kuras tās saņem no lietotājiem, kuri mēģina autentificēties, izmantojot eID sistēmu.

Normālos apstākļos šai autentifikācijas procedūrai ir šādas darbības:

  • Vietne redz, ka lietotājs uzsāk eID kartes autentifikācijas procesu, un pieprasa lietotājam īpašu atbildi.
  • Lietotājs ievieto savu eID karti karšu lasītājā vai novieto eID karti spējīga mobilā tālruņa tuvumā. Lietotājs ievada savas kartes PIN kodu datorā vai viedtālrunī instalētajā eID klienta lietotnē.
  • EID klienta lietotne izveido savienojumu ar vienu no daudzajiem autorizētajiem eID serveriem, lai pārbaudītu pieteikšanās pieprasījumu un izveidot kriptogrāfisku verifikācijas parakstu atbildei, kuru tas plāno pārsūtīt atpakaļ uz tīmekļa vietne.
  • EID klienta lietotne nosūta eID atbildi (parakstu un lietotāja personas datus) uz sākotnējo vietni, lai pabeigtu uz eID balstītu autentifikācijas procedūru.
  • Vietne piesaka lietotāju vai izveido jaunu kontu, ja lietotājs izmanto savu elektronisko karti, lai reģistrētos vietnē.
Attēls: Bund.de

Saskaņā ar SEC Consult ekspertu teikto, vietnes, kurās tiek izmantotas vecākas Autent SDK versijas, pieņem eID klientu. atbildes, kurās ir viens kriptogrāfiskais paraksts, bet vairāki SAML parametri, kas satur lietotāja parakstu datus.

"Paraksts tiek pārbaudīts, salīdzinot ar pēdējo parametra gadījumu, savukārt SAML atbilde, kas tiek apstrādāta tālāk, tiks ņemta no pirmā gadījuma," skaidro SEC Consult eksperti.

"Lai izmantotu šo ievainojamību, uzbrucējam ir nepieciešama vismaz viena derīga vaicājuma virkne, ko parakstījis autentifikācijas serveris. Nav svarīgi, kuram pilsonim un kurā brīdī paraksts vaicājuma virknei ir izsniegts,» viņi piebilda.

Tā izklausās kā nepārvarama problēma... bet patiesībā tā nav. SEC Consult saka, ka vairāki eID serveri atklāj žurnālus tiešsaistē [1, 2], un uzbrucējs varētu vienkārši paņemt vecu parakstītu atbildi un ievietot savus viltotos eID datus vidū, piemēram:

[paraksts][viltus lietotāja dati][īsti lietotāja dati paraksta pārbaudei]

SEC Consult ir publicējis YouTube videoklipu, lai parādītu, kā darbojas uzbrukums, kurā tiek izmantota šī ievainojamība.

Taču SEC Consult saka, ka šī ievainojamība nedarbojas visās vietnēs, kas atbalsta eID autentifikāciju. Eksperti saka, ka tiešsaistes portāli, kas izvēlējušies ieviest "pseidonīmus" (nevis sūtīt faktiskos lietotāja datus ar katru autentifikācijas pieprasījumu), nav neaizsargāti.

Pseidonīmi ir nejauša izskata virknes, kas tiek lietotas līdzīgi lietotājvārdiem un tiek glabātas gan vietnē, gan eID kartes RFID mikroshēmā. Ja vien uzbrucēji nespēs konsekventi uzminēt pseidonīmus, viņi nevarēs izmantot šo ievainojamību, lai maldinātu citu lietotāju identitāti.

Turklāt, tā kā visas eID autentifikācijas atbildes tiek reģistrētas, vietnes var pārskatīt žurnālus un noteikt, kad un ja uzbrucējs jebkad ir izmantojis šo ievainojamību (skatot eID atbildes ar vairākiem atkārtojumiem parametri). Tas arī nozīmē, ka uzbrukumus var noteikt reāllaikā, bloķējot uzbrucējus, kas mēģina izkrāpt savu identitāti, pirms viņi piesakās.

Labā ziņa ir tā, ka SEC Consult privāti atklāja šo trūkumu vasarā un tikai atklāja to šodien publiski, dodot Vācijas vietnēm trīs mēnešus ilgu laiku, lai atjauninātu neaizsargāto un ļoti populāro Autent SDK.

Sliktā ziņa ir tā, ka Autent SDK tika izmantots demonstrācijas lietotnē, ko daudzas Vācijas vietnes, iespējams, ir lejupielādējušas un izmantojušas kā Piemēram, izveidot savas eID autentifikācijas sistēmas, kas nozīmē, ka problēma varētu būt diezgan plaši izplatīta vācu tiešsaistē telpa.

Šodien ZDNet ir iesniedzis oficiālu pieprasījumu sniegt komentārus eID grupai Vācijas Federālajā informācijas drošības birojā (BSI) un jautāja, vai Vācijas valdības portāli — lielākā daļa vietņu, kurās tiek izmantota eID autentifikācijas sistēma — ir lietojuši SDK ielāpu un ja ir bijuši saskaņoti centieni pārskatīt valdības pārvaldīto vietņu žurnālus, lai noteiktu uzbrukumus, kuros varētu būt izmantots iepriekš minētais. ievainojamība.

SEC Consult atklātā problēma nekur nav tik problemātiska kā kriptogrāfijas problēma, kas tika atklāta vairāk nekā 750 000 Igaunijas eID karšu 2017. gadā. Tika ietekmētas arī dažas eID kartes Slovākijā, bet mazākā mērā. Igaunija iesūdzēja Gemalto tiesāeID karšu ražotājs, šoruden. Galu galā Gemalto nodrošināja atjauninājumu visām ietekmētajām kartēm.

Atjauninājums 23. novembrī, 11:00 ET: Governikus, Vācijas uzņēmums aiz Auten SDK, ir izlaidis a paziņojums, apgalvojums kurā viņi paskaidro, ka SEC Consult komandas aprakstītais uzbrukuma scenārijs tika veikts pret demonstrācijas lietotni un tam nevajadzētu darboties pret viņu SDK gadījumiem ražošanai gatavās vidēs, kuru novēršanai parasti tiek izmantotas papildu drošības sistēmas ekspluatācija.

iOS 12.1: mainiet šos konfidencialitātes un drošības iestatījumus tūlīt


Saistītais kiberdrošības pārklājums:

  • IRS nespēja piemērot patērētāju aizsardzību 11 406 nodokļu maksātājiem
  • ASV, Krievija un Ķīna neparaksta Makrona kiberpaktu
  • Drosmīgā pārlūkprogramma izmet Google meklēšanu Francijā, Vācijā CNET
  • Apple lietotājiem bez jaunākajiem drošības atjauninājumiem burts “d” ne vienmēr ir burts “d”.
  • Populārais Dark Web mitināšanas pakalpojumu sniedzējs tika uzlauzts, 6500 vietņu sarukšana
  • Kļūda EA Origin klientā atklāj spēlētāju datus
  • Kvantu skaitļošana: apkrāptu lapa Tehniskā Republika
  • AWS ievieš jaunu drošības līdzekli, lai novērstu nejaušu S3 datu noplūdi