Уязвимость в немецкой системе e-паспортов позволяла выдавать себя за другого

DOMINUS_EDEM

Прошлый ник Khan
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
23/1/16
Сообщения
2.067
Репутация
5.626
Реакции
5.872
RUB
0
Депозит
22 000 рублей
Сделок через гаранта
21
Проблема затрагивает SDK для авторизации пользователей на сайтах с помощью электронных удостоверений.​

Исследователи компании SEC Consult обнаружили уязвимость в используемой в Германии системе электронных удостоверений личности (eID). С ее помощью злоумышленник может обмануть web-сайт и использовать для аутентификации личность другого гражданина Германии. Для успешного осуществления атаки киберпреступнику придется преодолеть ряд препятствий, однако это более чем реально, считают исследователи.

Проблема затрагивает ПО, используемое на сайтах для авторизации пользователей с помощью их eID. Уязвимость связана с компонентом Governikus Autent SDK, используемом немецкими сайтами, в том числе правительственными, для поддержки процесса авторизации и регистрации с помощью eID. По словам исследователей, проблема связана с тем, как сайты обрабатывают ответы, получаемые от пользователей при авторизации с помощью eID.

Уязвимость была исправлена в августе нынешнего года с выходом обновления Autent SDK 3.8.1.2. Сайты, использующие Autent SDK 3.8.1 и более ранние версии, уязвимы к атакам и должны как можно скорее установить обновление.

В опубликованном ниже видеоролике исследователи SEC Consult продемонстрировали эксплуатацию уязвимости в действии:

 
  • Нравится
Реакции: XABA
Сверху Снизу