Проблема затрагивает SDK для авторизации пользователей на сайтах с помощью электронных удостоверений.
Исследователи компании SEC Consult обнаружили уязвимость в используемой в Германии системе электронных удостоверений личности (eID). С ее помощью злоумышленник может обмануть web-сайт и использовать для аутентификации личность другого гражданина Германии. Для успешного осуществления атаки киберпреступнику придется преодолеть ряд препятствий, однако это более чем реально, считают исследователи.
Проблема затрагивает ПО, используемое на сайтах для авторизации пользователей с помощью их eID. Уязвимость связана с компонентом Governikus Autent SDK, используемом немецкими сайтами, в том числе правительственными, для поддержки процесса авторизации и регистрации с помощью eID. По словам исследователей, проблема связана с тем, как сайты обрабатывают ответы, получаемые от пользователей при авторизации с помощью eID.
Уязвимость была исправлена в августе нынешнего года с выходом обновления Autent SDK 3.8.1.2. Сайты, использующие Autent SDK 3.8.1 и более ранние версии, уязвимы к атакам и должны как можно скорее установить обновление.
В опубликованном ниже видеоролике исследователи SEC Consult продемонстрировали эксплуатацию уязвимости в действии: