您现在的位置是:首页 >财经 > 2021-04-22 18:11:20 来源:

德国电子政务SDK修补了ID欺骗漏洞

导读 德国修补了一项关键的电子政务服务,以防止可能的冒充攻击,私人和公共部门开发商都被告知要检查他们的日志以获取漏洞证据。 7月,SEC咨询

德国修补了一项关键的“电子政务”服务,以防止可能的冒充攻击,私人和公共部门开发商都被告知要检查他们的日志以获取漏洞证据。

7月,SEC咨询公司警告该国联邦计算机应急小组在CERT-Bund,支持政府nPA身份证的软件存在严重漏洞(身份证本身并未遭到破坏)。

Governikus Autent SDK允许Web开发人员根据nPA检查用户的身份。SEC Consult说,由于HTTP的怪癖,系统可能会被欺骗以验证错误的人。

德国电子政务SDK修补了ID欺骗漏洞

SEC Consult的披露就在这里,它在这篇博文中解释了漏洞利用过程。

使用智能卡读卡器和电子ID(eID)客户端软件(例如政府的AusweisApp 2)进行在线验证。验证公民,Web应用程序(可以是税务等政府服务,或者是私人服务,例如银行或保险公司)向eID客户发送请求。

“它向用户请求PIN,与身份验证服务器(eID-Server或SAML-Processor),Web应用程序和RFID芯片通信,最后向Web应用程序发送响应。此响应包含从身份证,例如公民的姓名或出生日期,“该公司说。

为防止操纵,身份验证服务器将数字签名应用于其响应,但SDK的作者未考虑允许模拟的HTTP特征。

HTTP允许多个参数具有相同的名称。“当该方法HttpRedirectUtils.checkQueryString创建查询字符串的规范版本时,它会从中解析参数并生成一个新查询字符串,其中的参数按特定顺序排列。不考虑参数可多次出现的情况,”SEC咨询中写道。

这意味着攻击者可以“在不使签名失效的情况下”任意操纵[来自服务器]的响应“。

“因此,攻击者可以随意修改可信查询字符串。通过获取此类字符串(例如,通过提供具有nPA登录的Web应用程序然后检查访问日志),他能够像任何公民一样针对任何易受攻击的Web应用程序进行身份验证同样信任签名发行人的,“披露解释,如本视频所示:

CERT-Bund告诉SEC Consult,该漏洞已于10月底修补