Bezpečnost | eObčanka | Česko

Přihlašování skrze eObčanku je děravé. Virus vám může ukradnout identitu

Přihlašování skrze eObčanku je děravé. Virus vám může ukradnout identitu

Bezpečnostní experti z Auxilium Cyber Security a WardenSec upozornili na potenciální zranitelnost v systému NIA při přihlašování pomocí čipových eObčanek, píše E15.

NIA, tedy Národní Identitní Autorita je uzel, který různými způsoby řeší ověření identity a přihlášení třeba do webového Portálu občana, aplikací sociálního zabezpečení atp. NIA dnes nabízí hromadu ověřovacích způsobů počínaje prostým loginem, heslem a kódem v SMS (dvoufaktor) a konče právě eObčankou, její hardwarovou čtečkou a speciální aplikací nainstalovanou na PC. Nově pak přibyla také možnost přihlášení skrze MojeID, které provozuje CZ.NIC.

Klepněte pro větší obrázek
Přihlášení různými způsoby do českého e-governmentu, ale skrze jednotný uzel

Podle expertů je problém právě v přihlašování skrze eObčanky a aplikaci, která se spustí z webového prohlížeče a po zadání pinu ověří identitu skrze čip na eObčance. V rámci tohoto spojení se mezi servery NIA a počítačem přenáší identifikátor spojení, který lze nahradit vlastním záškodnickým identifikátorem a převzít tak kontrolu nad úspěšně přihlášeným uživatelem, který nebude mít ani páru, že se něco děje.

Klepněte pro větší obrázek
Standardní způsob přihlášení k NIA (Portál občana aj.) na PC pomocí eObčanky

Co k tomu potřebujete? Třeba podvrhnutou a upravenou knihovnu OpenSSL, kterou používá klientská aplikace na PC a kterou by mohl na cílový počítač dopravit nějaký cílený malware. Pokud by se to podařilo, záškodník může s identitou uživatele napříč podporovaných e-governmentem pracovat, jak se mu zlíbí, aniž by si uživatel čehokoliv všiml.

Klepněte pro větší obrázek
Podvržení transakčního ID při použití zavirované klientské aplikace eObčanky pro PC. Detailní popis najdete v PDF v závěru článku. 

Elektronická občanka jakožto hardwarový klíč se speciální aplikací pro PC je tedy při tomto scénáři vlastně děravější, než prostý a už zmíněný dvoufaktor, tedy kombinace loginu, hesla a ověřovací SMS, která dorazí na mobil.

Jak už tom ubývá, celý systém je pouze tak bezpečný, jak bezpečné jsou koncové body, které se účastní výměny dat. Pokud bude jakýmkoliv způsobem infikovaný PC oběti, zabezpečení eObčanek může být naprosto k ničemu.

Experti navrhli několik způsobů. Jak lze celý systém zabezpečit, nelze tedy než doufat, že se vše opět spraví.

Celý popis potenciálního útoku v češtině:

eObčanka

Elektronický průkaz totožnosti – eObčanka – obsahuje čip, který umožňuje občanům bezpečně se identifikovat a komunikovat s úřady online.

Přečtěte si:

Diskuze (47) Další článek: AMD představuje nové procesory Ryzen, sledujte premiéru online

Témata článku: Portál občana, Internet, Bezpečnost, eObčanka, Česko, eGovernment, Identita, Přihlašování, Cyber Security, SMS, Přihlášení, Aplikace, Uzel, NIA, Virus, Počítač


Určitě si přečtěte

Není jen Flightradar: Našli jsme další aplikace pro sledování letadel, některé ukážou i víc

Není jen Flightradar: Našli jsme další aplikace pro sledování letadel, některé ukážou i víc

** 8 služeb pro sledování leteckého provozu ** Nejznámější je Flightradar24, ale alternativy leckdy prozradí více ** Letadla i v této pohnuté době čile létají a je co pozorovat

Karel Kilián | 14

DeOldify: Téměř zázračná technologie, která obarvuje 2. světovou válku, nebo vaše fotky z dětství

DeOldify: Téměř zázračná technologie, která obarvuje 2. světovou válku, nebo vaše fotky z dětství

** Neuronová síť DeOldify obarvuje fotky ** Můžete si ji vyzkoušet sami i bez superpočítače ** YouTube je plný obarvených ikonických videí

Jakub Čížek | 21


Aktuální číslo časopisu Computer

Megatest televizí do 25 000 Kč

Nejlepší herní klávesnice

Srovnání správců hesel

Jak upravit fotky pro tisk