Otkriveni sigurnosni propusti u njemačkom eID sustavu za elektroničke osobne iskaznice

Stručnjaci za sigurnost u njemačkom SEC Consultu otkrili su prije nekoliko mjeseci propust na njemačkim elektroničkim osobnim iskaznicama (eID), koji napadačima omogućava da se u online sferi predstavljaju kao netko drugi. Srećom, iskorištavanje propusta iznimno je teška procedura, ali izvediva je i zato se problem trebao riješiti što je prije bilo moguće.

A on se ne nalazi u RFID (radio-frequency identification) čipu na samoj eID već u softveru implementiranom od strane web stranica koje traže eID autorizaciju. Ta ranjiva komponenta zove se Governikus Autent SDK, a identificirana je još u kolovozu, kad se i izbacila potrebna zakrpa pod nazivom Governikus Autent SDK v3.8.1.2. Odmah se pozvalo i vlasnike web stranica da nadopune Autent SDK ako već nisu.

Prema izvještaju SEC Consulta, ranjivost se "uplela" u normalnu proceduru. Ona je uobičajena, web stranica "vidi" korisnika koji pokušava potvrditi svoju eID iskaznicu kroz čitač ili putem mobilnog uređaja, potom to web stranica zabilježi spajanjem na autorizirane servere i potom korisnika spaja kako bi joj pristupio. Naravno, sve to se ujedno i bilježi. Ranjivost se zbiva u cijelom tom procesu, kad napadač dolazi u sredinu i preuzima željene podatke pa ih kasnije koristi u svoje svrhe.

Srećom, otkako je otkriven problem, pregledani su logovi pa se svaka aktivnost mogla pregledati i osobu kojoj su otuđeni privatni podaci automatski i upozoriti. Da ne stane samo na tome, SEC Consult je objavio i YouTube video na kojem pojašnjava sve što se dogodilo, kako se dogodilo i što može iz probleman nastati.

Kako god, sreća u cijeloj priči jest da se nije dogodilo ništa ozbiljno, kao u slučaju Estonije koja je zbog kriptografskog problema morala povući čak 750 tisuća eID iskaznica jer se našla pred iznimno ozbiljnim sigurnosnim problemom.