Bezpečnost | eObčanka | Česko

Přihlašování skrze eObčanku je děravé. Virus vám může ukradnout identitu

Bezpečnostní experti z Auxilium Cyber Security a WardenSec upozornili na potenciální zranitelnost v systému NIA při přihlašování pomocí čipových eObčanek, píše E15.

NIA, tedy Národní Identitní Autorita je uzel, který různými způsoby řeší ověření identity a přihlášení třeba do webového Portálu občana, aplikací sociálního zabezpečení atp. NIA dnes nabízí hromadu ověřovacích způsobů počínaje prostým loginem, heslem a kódem v SMS (dvoufaktor) a konče právě eObčankou, její hardwarovou čtečkou a speciální aplikací nainstalovanou na PC. Nově pak přibyla také možnost přihlášení skrze MojeID, které provozuje CZ.NIC.

9aac3197-9a3f-4f67-95db-74945f38d42a
Přihlášení různými způsoby do českého e-governmentu, ale skrze jednotný uzel

Podle expertů je problém právě v přihlašování skrze eObčanky a aplikaci, která se spustí z webového prohlížeče a po zadání pinu ověří identitu skrze čip na eObčance. V rámci tohoto spojení se mezi servery NIA a počítačem přenáší identifikátor spojení, který lze nahradit vlastním záškodnickým identifikátorem a převzít tak kontrolu nad úspěšně přihlášeným uživatelem, který nebude mít ani páru, že se něco děje.

e1cc97ab-b5f7-448b-b11a-4c2909e5b175
Standardní způsob přihlášení k NIA (Portál občana aj.) na PC pomocí eObčanky

Co k tomu potřebujete? Třeba podvrhnutou a upravenou knihovnu OpenSSL, kterou používá klientská aplikace na PC a kterou by mohl na cílový počítač dopravit nějaký cílený malware. Pokud by se to podařilo, záškodník může s identitou uživatele napříč podporovaných e-governmentem pracovat, jak se mu zlíbí, aniž by si uživatel čehokoliv všiml.

4e31db09-bd2f-4cbe-831c-1dae74cd7768
Podvržení transakčního ID při použití zavirované klientské aplikace eObčanky pro PC. Detailní popis najdete v PDF v závěru článku. 

Elektronická občanka jakožto hardwarový klíč se speciální aplikací pro PC je tedy při tomto scénáři vlastně děravější, než prostý a už zmíněný dvoufaktor, tedy kombinace loginu, hesla a ověřovací SMS, která dorazí na mobil.

Jak už tom ubývá, celý systém je pouze tak bezpečný, jak bezpečné jsou koncové body, které se účastní výměny dat. Pokud bude jakýmkoliv způsobem infikovaný PC oběti, zabezpečení eObčanek může být naprosto k ničemu.

Experti navrhli několik způsobů. Jak lze celý systém zabezpečit, nelze tedy než doufat, že se vše opět spraví.

Celý popis potenciálního útoku v češtině:

Diskuze (47) Další článek: AMD představuje nové procesory Ryzen, sledujte premiéru online

Témata článku: , , , , , , , , , , , , , , , ,