德国eID卡系统容易受到在线身份伪造攻击





安全研究人员发现德国政府使用的电子身份证(eID)卡系统的主干存在漏洞。该漏洞在被利用时允许攻击者在线伪造,在使用eID身份验证选项时伪造其他德国公民的身份。

在滥用此漏洞之前,攻击者需要客服一些障碍,发现它的研究人员表示的eID欺骗攻击是可行的。

该漏洞不存在于嵌入德国eID卡的射频识别(RFID)芯片中,而是存在于支持eID身份验证的网站的软件包中。

易受攻击的组件被命名为Governikus Autent SDK,是德国网站(包括政府门户网站)用于添加对基于eID的登录和注册程序的支持的SDK之一。

发现该SDK存在漏洞的德国网络安全公司SEC Consult表示,它已向CERT-Bund(德国计算机紧急响应小组)报告此问题,后者与供应商Governikus协调发布补丁 - Autent SDK v3.8.1.2--今年8月。
所有使用Autent SDK 3.8.1及更早版本的网站都容易受到他们发现的漏洞的影响,SEC Consult今天在一份报告中表示,建议网站所有者将他们的Autent SDK更新到最新版本,如果他们还没有这样做的话已经。

漏洞的工作原理

根据该公司的报告,该漏洞存在于网站如何处理从尝试通过eID系统进行身份验证的用户收到的响应的过程中。

在正常情况下,此身份验证过程将执行以下步骤:


  • 网站看到用户启动eID卡身份验证过程并请求用户的特殊响应。
  • 用户将他的eID卡插入读卡器或将eID卡放在有能力的移动电话附近。用户在其PC或智能手机上安装的eID客户端应用程序中输入其卡的PIN码。
  • eID客户端应用程序连接到许多授权的eID服务器之一,以验证登录请求,并为其打算转发回网站的响应生成加密验证签名。
  • eID客户端应用程序将eID响应(签名和用户的个人数据)发送到初始网站,以完成基于eID的身份验证过程。
  • 如果用户使用他的电子卡在网站上注册,网站会将用户登录或创建新帐户。




据SEC咨询专家称,使用旧版Autent SDK的网站接受包含一个加密签名的eID客户端响应,但包含多个包含用户数据的SAML参数。

“咨询专家解释说:”签名是针对最后一次出现的参数进行验证的,而进一步处理的SAML响应将从第一次出现时获取。

“为了利用此漏洞,攻击者至少需要一个由身份验证服务器签名的有效查询字符串。对于哪个公民或者在何时发出查询字符串的签名无关紧要,”他们补充说。

这听起来是一个不可逾越的问题......但实际上并非如此。美国证券交易委员会咨询说,多的eID服务器的在线日志曝光,并且攻击者可以随便抓一个古老的签名响应,并插入他们欺骗的eID数据在中间,像这样:

[签名] [ 假用户数据 ] [签名检查的真实用户数据]

SEC Consult发布了一段YouTube视频,以展示利用此漏洞的攻击是如何运作的。

https://youtu.be/kaATyYmpiIE

但SEC Consult表示,此漏洞不适用于所有支持eID身份验证的网站。专家说,选择实施“假名”(不是用每个身份验证请求发送实际用户数据)的在线门户网站都不容易受到攻击。

假名是随机查找的字符串,与用户名类似地使用,存储在网站和eID卡的RFID芯片内。除非攻击者能够以一致的方式猜测假名,否则他们将无法使用此漏洞来欺骗其他用户的身份。

此外,由于记录了所有eID身份验证响应,因此网站可以查看日志并检测攻击者何时以及是否曾利用此漏洞(通过查看具有多个重复参数的eID响应)。这也意味着可以实时检测到攻击,阻止攻击者在登录前欺骗他们的身份。

好消息是SEC Consult在今年夏天私下披露了这个缺陷,并且今天只向公众披露,让德国网站开始三个月的开端来更新脆弱的 - 非常受欢迎的 - Autent SDK。

坏消息是,Autent SDK被用于许多德国网站可能已下载的演示应用程序,并用作构建自己的eID身份验证系统的示例,这意味着该问题可能在德国在线空间中非常普遍。

今天早些时候,ZDNet向德国联邦信息安全办公室(BSI)的eID小组提出了正式的评论请求,并询问德国政府门户网站 - 绝大多数使用eID认证系统的网站 - 是否已经申请SDK补丁,如果已经齐心协力审查政府管理网站的日志,以查找可能利用上述漏洞的攻击。

SEC Consult发现的问题与2017年超过750,000张爱沙尼亚eID卡中发现的加密问题无关。爱沙尼亚政府被迫更换所有受影响的卡片,以防止在政府网站上进行欺诈性操作。斯洛伐克的一些电子身份证也受到影响,但程度较轻。今年秋天,爱沙尼亚起诉 eID卡制造商金雅拓。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐