Исправлена уязвимость немецкой системы электронного удостоверения личности

Специалисты компании SEC Consult помогли обнаружить и устранить уязвимость немецкой системы электронного удостоверения личности. С 2010 года гражданам Германии выдаются электронные карты со встроенным радиочастотным идентификационным чипом. Чип содержит информацию об имени и дате рождения держателя, а также его биометрические данные. Электронные карты могут использоваться в качестве документа для путешествий по большинству европейских стран, а также служат для аутентификации пользователей на немецких правительственных онлайн-сервисах. Для этого считывающее устройство сканирует карту и направляет информацию с микрочипа на аутентификационный сервер системы для подтверждения.

Но исследователь SEC Consult Вольфганг Эттлингер сумел обойти процесс аутентификации и выдать себя за другого человека. Метод является достаточно сложным и требует перехвата и подделки ответа с аутентификационного сервера, однако для технически продвинутых пользователей ничего невозможного в этом нет, подчеркивают эксперты по кибербезопасности. В качестве демонстрации Эттлингер, использовав свою электронную карту, прошел аутентификацию в системе как Иоганн Вольфганг Гёте, а в качестве адреса проживания указал адрес дома в Веймаре, в котором великий поэт прожил 50 лет, и где теперь находится его музей. Компания SEC Consult уведомила о проблеме немецкий центр реагирования на киберугрозы CERT-Bund, и в настоящий момент уязвимость устранена.