IT обозрение
Пятница, 10 апреля, 2026
No Result
View All Result
  • Новости
  • Игры
  • Смартфоны
  • Обзоры
  • Софт
  • Криптовалюта
  • ИИ
  • ru Русский
    • ar العربية
    • zh-CN 简体中文
    • cs Čeština‎
    • nl Nederlands
    • en English
    • et Eesti
    • fr Français
    • de Deutsch
    • iw עִבְרִית
    • it Italiano
    • lv Latviešu valoda
    • lt Lietuvių kalba
    • pl Polski
    • pt Português
    • ru Русский
    • es Español
    • uk Українська
  • Новости
  • Игры
  • Смартфоны
  • Обзоры
  • Софт
  • Криптовалюта
  • ИИ
  • ru Русский
    • ar العربية
    • zh-CN 简体中文
    • cs Čeština‎
    • nl Nederlands
    • en English
    • et Eesti
    • fr Français
    • de Deutsch
    • iw עִבְרִית
    • it Italiano
    • lv Latviešu valoda
    • lt Lietuvių kalba
    • pl Polski
    • pt Português
    • ru Русский
    • es Español
    • uk Українська
No Result
View All Result
IT обозрение
No Result
View All Result
Home Новости

Немецкие электронные удостоверения личности могли быть подделаны из-за уязвимости

23.11.2018
A A
0
Share on FacebookShare on Twitter

Еще в 2010 году в Германии ввели систему электронных удостоверений личности (electronic ID, eID). Эти документы имеют RFID-чип и содержат такие данные владельца, как имя, дату рождения, биометрические параметры (включая отпечатки пальцев, по желанию). eID может использоваться для авторизации на различных государственных порталах, для подтверждения возраста, а также принимается почти во всех странах Европы в качестве выездных документов.

Специалисты компании SEC Consult обнаружили проблему, благодаря которой можно было подделать данные eID в онлайне и, по сути, выдать себя за другого человека. Уязвимость была найдена не в самих RFID-чипах удостоверений, но в софтверной составляющей этой системы, Governikus Autent SDK. Данный SDK применяется на различных немецких сайтах, включая правительственные порталы, для авторизации и регистрации посредством eID.

ЭТО ИНТЕРЕСНО

Сериальные выходные на Netflix: 3 новых проекта, которые стоит посмотреть с 10 по 12 апреля

Сериальные выходные на Netflix: 3 новых проекта, которые стоит посмотреть с 10 по 12 апреля

10.04.2026
Bitget запускает новый продукт Pre-IPO. Биржа стартует со SpaceX в качестве первого листинга

Bitget запускает новый продукт Pre-IPO. Биржа стартует со SpaceX в качестве первого листинга

10.04.2026

Исследователи объясняют, что корень проблемы заключался в том, как сайты обрабатывают полученные от пользователей ответы, когда те пытаются пройти аутентификацию с использованием eID. В нормальных обстоятельствах данная процедура должна выглядеть так:

-сайт обнаруживает, что пользователь инициирует процесс аутентификации посредством eID, и запрашивает у него специальный ответ;
-пользователь использует кардридер или специальное приложение для чтения eID, и вводит PIN-код в специальном приложении на ПК или мобильном устройстве;
-клиентское приложение eID соединяется с одним из множества авторизованных eID-серверов и верифицирует этот запрос на вход, присваивает операции криптографическую верификационную подпись, которая вместе с запросом пользователя направляется целевому сайту;
-клиентское приложение eID передает eID-запрос сайту (запрос содержит упомянутую подпись и данные пользователя), тем самым завершая процедуру eID-индентификации;
-сайт создает новую учетную запись или авторизует пользователя.

german-eid-auth-process.png (96 KB)

По данным SEC Consult, сайты, работавшие со старыми версиями Governikus Autent SDK, могли принимать ответы, содержащие одну криптографическую подпись, но несколько параметров SAML (Security Assertion Markup Language), содержащих данные пользователя. В итоге систему валидации можно было обмануть, а ответ пользователя модифицировать.

Для эксплуатации проблемы атакующему требовалась действительная строка запроса, подписанная аутентификационным сервером, в которую можно было внести изменения. Манипуляции позволяли теоретическому злоумышленнику выдать себя за другого человека, или аккуратно «подправить» в ответе имя, возраст и так далее. Исследователи подчеркивают, что осуществить подобную атаку было не так уж сложно. Дело в том, что многие eID-серверы «светят» своими логами в интернет (1, 2), и атакующий мог с легкостью почерпнуть все необходимые для атаки данные отсюда.

Демонстрацию атаки можно увидеть в ролике ниже.

Специалисты уведомили Governikus о проблеме еще летом текущего года, и в августе была выпущена исправленная версия Autent SDK (3.8.1.2). Теперь немецкий CERT и разработчики Governikus предупреждают, что все версии Autent SDK от 3.8.1 и ниже уязвимы перед обнаруженной проблемой и требуют немедленного обновления.

Источник: xakep.ru

Читайте так-же

Сериальные выходные на Netflix: 3 новых проекта, которые стоит посмотреть с 10 по 12 апреля
Новости

Сериальные выходные на Netflix: 3 новых проекта, которые стоит посмотреть с 10 по 12 апреля

10.04.2026
0

Стриминговый гигант Netflix подготовил для своих подписчиков впечатляющее обновление библиотеки на апрель 2026 года. Согласно отчету GamesRadar, в этом месяце...

Read more
Bitget запускает новый продукт Pre-IPO. Биржа стартует со SpaceX в качестве первого листинга

Bitget запускает новый продукт Pre-IPO. Биржа стартует со SpaceX в качестве первого листинга

10.04.2026
Крипторынок убирает лишних: 15 криптовалютных проектов закрылись с начала года

Крипторынок убирает лишних: 15 криптовалютных проектов закрылись с начала года

10.04.2026
Прощай Copilot: Microsoft убирает раздражающий ИИ из приложений Windows 11

Прощай Copilot: Microsoft убирает раздражающий ИИ из приложений Windows 11

10.04.2026
Не заряжаешь, а заменяешь: Aion RT Super — китайский седан с новой концепцией батареи

Не заряжаешь, а заменяешь: Aion RT Super — китайский седан с новой концепцией батареи

10.04.2026

ТОП НОВОСТИ

По следам взлома Drift Protocol: коллапс DeFi-экосистемы и молчание Circle

По следам взлома Drift Protocol: коллапс DeFi-экосистемы и молчание Circle

07.04.2026
Наушники, которые не нужно вставлять в уши: обзор клипс realme Buds Clip

Наушники, которые не нужно вставлять в уши: обзор клипс realme Buds Clip

07.04.2026
Microsoft избавляется от одного из главных инструментов восстановления Windows

Microsoft избавляется от одного из главных инструментов восстановления Windows

07.04.2026
Всё о турбине Redmi K90 Max: особенности, преимущества, новшества

Всё о турбине Redmi K90 Max: особенности, преимущества, новшества

07.04.2026
Инсайдер: Apple уже запустила серийное производство iPhone Fold

Инсайдер: Apple уже запустила серийное производство iPhone Fold

07.04.2026

ПОПУЛЯРНОЕ

  • Прогноз цены Биткоина: BTC преодолел $105 тыс. на фоне роста аппетита к риску

    Прогноз цены Биткоина: BTC преодолел $105 тыс. на фоне роста аппетита к риску

    0 shares
    Share 0 Tweet 0
  • Организаторов Computex 2026 критикуют за дискриминацию производителей устройств без ИИ

    0 shares
    Share 0 Tweet 0
  • Какие смартфоны популярнее всего в Китае? Топ-10 от каждого бренда

    0 shares
    Share 0 Tweet 0
  • «Укрытие» / Silo 3 сезон изменит сюжет книг: Джульетта возвращается

    0 shares
    Share 0 Tweet 0
  • CONTROL Resonant получит украинскую локализацию — релиз в 2026 году

    0 shares
    Share 0 Tweet 0
  • О нас
  • Реклама
  • Контакты
  • Политика конфиденциальности
  • Sitemap
Реклама: digestmediaholding@gmail.com

Использование любых материалов, опубликованных на портале itoboz.com, разрешается только при условии обязательного указания источника. Любое использование контента — будь то статьи, аналитические материалы, обзоры или новостные публикации — должно сопровождаться прямой гиперссылкой, открытой для индексации поисковыми системами.
Для интернет-СМИ, блогов и иных онлайн-платформ необходимо размещать такую ссылку либо в подзаголовке, либо в первом абзаце публикации. Скрытые ссылки или технические методы, препятствующие индексации, использовать запрещается.

Редакция портала itoboz.com публикует материалы различных авторов, однако не обязательно разделяет их мнение или позицию. Все точки зрения, представленные в статьях, обзорах и комментариях, принадлежат исключительно авторам публикаций. Редакция не несет ответственности за содержание републикуемых материалов, а также за любые последствия их использования третьими лицами.

© 2010-2026 IT новости. All Rights reserved

No Result
View All Result
  • Новости
  • Игры
  • Смартфоны
  • Обзоры
  • Софт
  • Криптовалюта

Использование любых материалов, опубликованных на портале itoboz.com, разрешается только при условии обязательного указания источника. Любое использование контента — будь то статьи, аналитические материалы, обзоры или новостные публикации — должно сопровождаться прямой гиперссылкой, открытой для индексации поисковыми системами.
Для интернет-СМИ, блогов и иных онлайн-платформ необходимо размещать такую ссылку либо в подзаголовке, либо в первом абзаце публикации. Скрытые ссылки или технические методы, препятствующие индексации, использовать запрещается.

Редакция портала itoboz.com публикует материалы различных авторов, однако не обязательно разделяет их мнение или позицию. Все точки зрения, представленные в статьях, обзорах и комментариях, принадлежат исключительно авторам публикаций. Редакция не несет ответственности за содержание републикуемых материалов, а также за любые последствия их использования третьими лицами.

© 2010-2026 IT новости. All Rights reserved

wpDiscuz