Clanek pochazi z Golem.de
Zranitelnost umožňuje útočníkům otevřít si bankovní účty nebo vést digitální vládu například ve jménu zahraničních osob.
On-line funkce průkazu totožnosti s průkazem totožnosti s eID není zjevně tak bezpečná, jak to německé orgány chtějí sdělit. Podle zprávy Spiegelu, bezpečnostní výzkumník, který se vyskytuje pod pseudonymem CtrlAlt, odhalil zranitelnost v eID postupu. Tímto způsobem se mu podařilo otevřít účet u velké německé banky jménem cizí osoby.
Postup eID by měl před takovými případy skutečně chránit. „Vaše osobní údaje jsou vždy spolehlivě chráněny proti krádeži a zneužívání,“ píše BMI s ohledem na používání funkce online ID. „Data s ID jsou vždy přenášena end-to-end šifrovaná, a proto nelze je zachytit nebo vidět,“ zdůrazňuje také ministerstvo.
Nicméně prostřednictvím bezpečnostní zranitelnosti v postupu eID mohou útočníci samozřejmě převzít totožnost ostatních uživatelů a provádět digitální vládní zásahy jejich jménem, stejně jako číst osobní údaje uložené na průkazu totožnosti.
Zranitelnost umožňuje M útoky
To je možné, že zranitelnost je registrována jako CVE-2024-23674 a je hodnocena jako kritická mince s CVSS z 9. CtrlAlt mu dal název Space, což je zkratka pro „Spoofing Password Autentifikované připojení kémratu“. V blogu bezpečnostní výzkumník vysvětluje, že zranitelnost umožňuje útočníkům provádět škálovatelné útoky muže uprostřed hřiště (MitM).
Útok nevyžaduje žádná zvláštní oprávnění a může být proveden na dálku. Nedostatečně odděleným dvěma autentizačními faktory (fyzickým držením karty a znalostí špendlíku) jsou útočníci schopni oba faktory ohrozit současně. Kromě toho neexistují žádné účinné mechanismy pro validaci koncových bodů mezi serverem eID a eID klientem.
„Zejména systém eID postrádá skutečné end-to-end šifrování, protože vstup pin se odehrává v nezajištěném cílovém parametru,“ říká výzkumník. CtrlAlt zveřejnil technické detaily v šestnáctistránkovém článku.
Útok se vyskytuje prostřednictvím škodlivé aplikace
Nicméně pro úspěšný útok musí útočník přimět svou oběť, aby si nainstalovala škodlivý aplikaci nebo aktualizaci stávající aplikace, která pak působí jako falešná identifikační aplikace. Podle CtrlAlt to lze provést prostřednictvím jednoho z oficiálních obchodů s aplikacemi. To je také kritika BSI, která potvrdila slabinu výzkumníka. Zajištění bezpečného operačního prostředí na straně klienta je podle úřadu povinností držitele průkazu totožnosti.
Výzkumník se však domnívá: „Je nezodpovědné přenést odpovědnost za bezpečnost na uživatele samotné,“ vysvětluje. Odpověď BSI je v podstatě potvrzením, že zabezpečení procedury eID v podstatě závisí na straně klienta. Úroveň zabezpečení je dána nejslabším článkem v řetězci, což je v tomto kontextu koncové zařízení uživatele. Nicméně skutečnost, že jiné složky systému měly vyšší úroveň bezpečnosti, je v případě útoku irelevantní.
Tags: Golem.de , Bankovni identita , osobni identita , identita , digitalizace , napadeni , zneuziti