Alman e-kimlik kartı sistemi çevrimiçi kimlik sahteciliğine karşı savunmasız

  • Oct 18, 2023

Web kitaplığındaki güvenlik açığı, saldırganların elektronik kimlik kartı kimliklerini taklit etmesine olanak tanıyor.

alman-bayram-kartı.jpg
Resim: Bund.de

Güvenlik araştırmacıları sistemin omurgasında bir güvenlik açığı buldu elektronik kimlik (eID) kartları Alman devletinin kullandığı sistem. Bu güvenlik açığından yararlanıldığında, bir saldırganın çevrimiçi bir web sitesini kandırmasına ve eID kimlik doğrulama seçeneğini kullanırken başka bir Alman vatandaşının kimliğini taklit etmesine olanak tanıyor.

Güvenlik

  • Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
  • Telefonunuzdaki casus yazılımları bulma ve kaldırma
  • En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
  • Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?

Bir saldırganın bu güvenlik açığını suistimal etmeden önce aşması gereken bazı engeller var, ancak bunu bulan araştırmacılar, eID sahtekarlığı hackinin yapılabileceklerden daha fazlası olduğunu söylüyor.

Güvenlik açığı, yerleşik radyo frekansı tanımlama (RFID) çipinde bulunmuyor Alman eID kartları, ancak eID'yi desteklemek isteyen web siteleri tarafından uygulanan yazılım kitinde bulunur kimlik doğrulama.

Güvenlik açığı bulunan bileşen Governikus Autent SDK olarak adlandırılıyor ve Almanya'nın geliştirdiği SDK'lardan biri. Devlet portalları da dahil olmak üzere web siteleri, eID tabanlı oturum açma ve kayıt için destek eklemek için kullanıldı prosedürler.

Bu SDK'daki kusuru keşfeden Alman siber güvenlik firması SEC Consult, sorunu zaten CERT-Bund'a bildirdiğini söylüyor (Almanya'nın Ağustos ayında bir yama --Autent SDK v3.8.1.2- yayınlamak için satıcı Governikus ile koordineli çalışan Bilgisayar Acil Durum Müdahale Ekibi) yıl.

SEC Consult bugün yaptığı açıklamada, Autent SDK 3.8.1 ve önceki sürümlerini kullanan tüm web sitelerinin, keşfettikleri güvenlik açığına karşı savunmasız olduğunu söyledi. rapor, web sitesi sahiplerine, henüz yapmamışlarsa Autent SDK'larını en son sürüme güncellemelerini tavsiye ediyoruz.

Güvenlik açığı nasıl çalışır?

Şirketin raporuna göre güvenlik açığı, web sitelerinin eID sistemi aracılığıyla kimlik doğrulaması yapmaya çalışan kullanıcılardan aldıkları yanıtlarla nasıl başa çıktığı sürecinden kaynaklanıyor.

Normal koşullar altında bu kimlik doğrulama prosedürü aşağıdaki adımlardan geçer:

  • Bir web sitesi, bir kullanıcının eID kartı kimlik doğrulama sürecini başlattığını görür ve kullanıcıdan özel bir yanıt ister.
  • Kullanıcı, eID kartını bir kart okuyucuya takar veya eID kartını yetenekli bir cep telefonunun yakınına yerleştirir. Kullanıcı, kartının PIN kodunu bilgisayarında veya akıllı telefonunda yüklü olan eID istemci uygulamasına girer.
  • eID istemci uygulaması, oturum açma isteğini doğrulamak için birçok yetkili eID sunucusundan birine bağlanır ve geri iletmeyi planladığı yanıt için bir kriptografik doğrulama imzası üretir. İnternet sitesi.
  • eID istemci uygulaması, eID tabanlı kimlik doğrulama prosedürünü tamamlamak için ilk web sitesine bir eID yanıtı (imza ve kullanıcının kişisel verileri) gönderir.
  • Kullanıcı bir siteye kaydolmak için elektronik kartını kullanıyorsa, web sitesi kullanıcının oturum açmasını sağlar veya yeni bir hesap oluşturur.
Resim: Bund.de

SEC Consult uzmanlarına göre Autent SDK'nın eski sürümlerini kullanan web siteleri eID istemcisini kabul ediyor bir kriptografik imza içeren ancak kullanıcının imzasını içeren birden fazla SAML parametresi içeren yanıtlar veri.

SEC Consult uzmanları, "İmza, parametrenin son oluşumuna göre doğrulanırken, daha fazla işlenen SAML yanıtı ilk oluşumundan itibaren alınacaktır." dedi.

"Saldırganın bu güvenlik açığından yararlanabilmesi için kimlik doğrulama sunucusu tarafından imzalanmış en az bir geçerli sorgu dizesine ihtiyacı vardır. Sorgu dizisine ait imzanın hangi vatandaşa veya hangi tarihte verildiği önemli değil" diye eklediler.

Bu aşılmaz bir sorun gibi görünüyor... ama aslında değil. SEC Consult, birden fazla eID sunucusunun günlükleri çevrimiçi olarak açığa çıkardığını söylüyor [1, 2] ve saldırgan eski imzalı bir yanıtı alıp sahte eID verilerini ortasına şu şekilde ekleyebilir:

[imza][sahte kullanıcının verileri][imza kontrolü için gerçek kullanıcı verileri]

SEC Consult, bu güvenlik açığından yararlanan bir saldırının nasıl çalıştığını gösteren bir YouTube videosu yayınladı.

Ancak SEC Consult, bu güvenlik açığının eID kimlik doğrulamasını destekleyen tüm web sitelerinde çalışmadığını söylüyor. Uzmanlar, (her kimlik doğrulama isteğiyle birlikte gerçek kullanıcı verilerini göndermek yerine) "takma adlar" kullanmayı seçen çevrimiçi portalların savunmasız olmadığını söylüyor.

Takma adlar, kullanıcı adlarına benzer şekilde kullanılan, hem web sitesinde hem de e-kimlik kartının RFID çipinde saklanan, rastgele görünen dizelerdir. Saldırganlar takma adları tutarlı bir şekilde tahmin edemedikleri sürece, bu güvenlik açığını diğer kullanıcıların kimliğini yanıltmak için kullanamazlar.

Ayrıca, tüm eID kimlik doğrulama yanıtları günlüğe kaydedildiğinden, web siteleri günlükleri inceleyebilir ve ne zaman ve olup olmadığını tespit edebilir. Bir saldırgan bu güvenlik açığından (birden fazla tekrarlanan eID yanıtlarına bakarak) yararlanmıştır. parametreler). Bu aynı zamanda saldırıların gerçek zamanlı olarak tespit edilebileceği ve saldırganların oturum açmadan önce kimliklerini taklit etmeye çalışmasının engelleneceği anlamına da gelir.

İyi haber şu ki, SEC Consult bu kusuru yaz boyunca özel olarak ifşa etti ve bunu yalnızca yetkililere açıkladı. bugün kamuoyuna açıklanıyor ve Alman sitelerine savunmasız -ve çok popüler- Autent'i güncellemeye üç ay önde başlıyor SDK'dır.

Kötü haber ise Autent SDK'nın birçok Alman web sitesinin indirip kullanmış olabileceği bir demo uygulamasında kullanılmış olması. kendi e-ID kimlik doğrulama sistemlerini oluşturmaları için bir örnek; bu da sorunun Alman çevrimiçi ortamında oldukça yaygın olabileceği anlamına geliyor uzay.

Bugün erken saatlerde ZDNet, Alman Federal Bilgi Güvenliği Dairesi'ndeki (BSI) eID grubuna resmi bir yorum talebinde bulundu ve Alman hükümeti portallarının (eID kimlik doğrulama sistemini kullanan sitelerin büyük çoğunluğu) SDK yamasını uygulayıp uygulamadığını ve Yukarıdakilerden yararlanabilecek saldırılara karşı devlet tarafından yönetilen web sitelerinin kayıtlarının incelenmesine yönelik ortak çabalar olmuştur. güvenlik açığı.

SEC Consult tarafından keşfedilen sorun, hiçbir yerde keşfedilen kriptografik sorun kadar sorunlu değil. 2017'de 750.000'den fazla Estonya eID kartı. Slovakya'daki bazı e-kimlik kartları da bu durumdan daha az düzeyde de olsa etkilendi. Estonya Gemalto'ya dava açtıeID kartı üreticisi, bu sonbaharda. Gemalto sonunda etkilenen tüm kartlara bir güncelleme sağladı.

23 Kasım 11:00 ET'deki güncelleme: Autent SDK'nın arkasındaki Alman şirket olan Governikus, bir güncelleme yayınladı. ifade Burada SEC Consult ekibi tarafından açıklanan saldırı senaryosunun bir demo uygulamaya karşı gerçekleştirildiğini ve çalışmaması gerektiğini açıklıyorlar üretime hazır ortamlardaki SDK örneklerine karşı, ek güvenlik sistemleri genellikle mevcut olduğunda sömürü.

iOS 12.1: Bu gizlilik ve güvenlik ayarlarını şimdi değiştirin


İlgili siber güvenlik kapsamı:

  • IRS, 11.406 vergi mükellefi için tüketici korumalarını uygulayamadı
  • ABD, Rusya ve Çin Macron'un siber anlaşmasını imzalamıyor
  • Cesur tarayıcı Fransa ve Almanya'da Google aramasını iptal etti CNET
  • En son güvenlik güncellemelerini almayan Apple kullanıcıları için 'd' harfi her zaman 'd' harfi değildir
  • Popüler Dark Web barındırma sağlayıcısı saldırıya uğradı ve 6.500 site kapatıldı
  • EA Origin istemcisindeki bir hata oyuncuların verilerini açığa çıkarıyor
  • Kuantum hesaplama: Bir kopya sayfası TechRepublic
  • AWS, kazara S3 veri sızıntılarını önlemek için yeni güvenlik özelliğini kullanıma sunuyor