德國電子政務SDK修補了ID欺騙漏洞

德國修補了一項關鍵的“電子政務”服務，以防止可能的冒充攻擊，私人和公共部門開發商都被告知要檢查他們的日志以獲取漏洞證據。

7月，SEC咨詢公司警告該國聯邦計算機應急小組在CERT-Bund，支持政府nPA身份證的軟件存在嚴重漏洞(身份證本身并未遭到破壞)。

Governikus Autent SDK允許Web開發人員根據nPA檢查用戶的身份。SEC Consult說，由于HTTP的怪癖，系統可能會被欺騙以驗證錯誤的人。

SEC Consult的披露就在這里，它在這篇博文中解釋了漏洞利用過程。

使用智能卡讀卡器和電子ID(eID)客戶端軟件(例如政府的AusweisApp 2)進行在線驗證。驗證公民，Web應用程序(可以是稅務等政府服務，或者是私人服務，例如銀行或保險公司)向eID客戶發送請求。

“它向用戶請求PIN，與身份驗證服務器(eID-Server或SAML-Processor)，Web應用程序和RFID芯片通信，最后向Web應用程序發送響應。此響應包含從身份證，例如公民的姓名或出生日期，“該公司說。

為防止操縱，身份驗證服務器將數字簽名應用于其響應，但SDK的作者未考慮允許模擬的HTTP特征。

HTTP允許多個參數具有相同的名稱。“當該方法HttpRedirectUtils.checkQueryString創建查詢字符串的規范版本時，它會從中解析參數并生成一個新查詢字符串，其中的參數按特定順序排列。不考慮參數可多次出現的情況，”SEC咨詢中寫道。

這意味著攻擊者可以“在不使簽名失效的情況下”任意操縱[來自服務器]的響應“。

“因此，攻擊者可以隨意修改可信查詢字符串。通過獲取此類字符串(例如，通過提供具有nPA登錄的Web應用程序然后檢查訪問日志)，他能夠像任何公民一樣針對任何易受攻擊的Web應用程序進行身份驗證同樣信任簽名發行人的，“披露解釋，如本視頻所示：

CERT-Bund告訴SEC Consult，該漏洞已于10月底修補