White Hat Hacker ujawnia lukę w niemieckim identyfikatorze cyfrowym

Masza Borak

Niemiecki identyfikator cyfrowy może być zagrożony przez złośliwych napastników – wynika z analizy przeprowadzonej przez eksperta ds. bezpieczeństwa cyfrowego.

Haker w białym kapeluszu zademonstrował niedawno, w jaki sposób cyberprzestępca może przeprowadzić atak typu Man-in-the-Middle na internetową wersję niemieckiego dowodu osobistego, znanego jako eID. Luka w zabezpieczeniach może potencjalnie stanowić zagrożenie dla około 10 milionów osób korzystających obecnie z systemu.

"Byłem zaskoczony, jak łatwo było złamać system" – powiedział haker rozmowie z serwisem informacyjnym Der Spiegel.

Anonimowy badacz cyfrowy, który posługuje się pseudonimem CtrlAlt, zbudował aplikację, która może rejestrować sześciocyfrowy kod PIN wpisywany przez użytkowników w celu zalogowania się do eID na swoich smartfonach. Aby wspomóc ten proces, użył oficjalnego kodu aplikacji eID, który jest dostępny online jako oprogramowanie typu open source.

Złośliwe oprogramowanie może potencjalnie zostać zainstalowane na smartfonie użytkownika za pośrednictwem wyrafinowanego trojana, który daje dostęp do całego smartfona, podobnego do tych używanych przez niektóre rządy do atakowania dysydentów i dziennikarzy. Alternatywnie, cyberprzestępcy mogą również umieścić złośliwe oprogramowanie, nakłaniając użytkownika do pobrania fałszywej aplikacji ze sklepu z aplikacjami.

Po uzyskaniu dostępu do identyfikatora cyfrowego złośliwi aktorzy mogą zalogować użytkownika na fałszywe konto aplikacji eID, a także przechwycić dane używane do logowania się do innych usług eID, w tym usług rządowych, platform e-zdrowia i systemów bankowych, według hakera, który opublikował analizę ataku w zeszły piątek.

CtrlAlt twierdzi, że poinformował niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) w grudniu ubiegłego roku i że agencja przyznała się do luki w zabezpieczeniach. W odpowiedzi dla Der Spiegel, BSI stwierdziło, że nie ma dowodów na przeprowadzenie konkretnych ataków i że nie widzi powodu do zmiany oceny ryzyka korzystania z eID.

"Z punktu widzenia BSI nie jest to atak na system eID, ale na urządzenia końcowe użytkowników" – czytamy w raporcie.

CtrlAlt twierdzi jednak, że nakłada to na użytkowników nadmierną odpowiedzialność za utrzymanie bezpieczeństwa urządzeń klienckich. A biorąc pod uwagę plany rozbudowy niemieckiego systemu identyfikacji cyfrowej, problem może się utrzymywać. Od 2017 r. kraj automatycznie zapisuje obywateli do programu eID, wydając jednocześnie nowe dowody osobistePięćdziesiąt sześć milionów ludzi w Niemczech posiada obecnie eID.

- źródło

 

 ROZPOZNAWANIE INFORMACYJNE I ŁĄCZNOŚĆ  
 
Ta strona internetowa prezentuje porządek bezpieczeństwa informacji w trakcie jej używania i nie udostępnia żadnych elementów informacyjnych. Na stronie mogą znajdować się Facebook posty, X tweety i wiadoności z serwisu Telegram. System i wszystkie zawartości są aktualizowane. Strona jest napędzana systemem Drupal10.

STOP 🛑 iD2020