H Αυστριακή ηλεκτρονική ταυτότητα είναι ευάλωτη σε επίθεση πλαστογράφησής της.
Ο ειδικός σε θέματα ασφαλείας κος Wolfgang Ettlinger ανακάλυψε μια ευπάθεια στην Αυστριακή Κάρτα του Πολίτη η οποία επιτρέπει στους επιτιθέμενους να κοροϊδέψουν τα διαπιστευτήρια των θυμάτων τους. Αυτή είναι η δεύτερη φορά που η κάρτα έχει χακαριστεί. Η επίθεση εκμεταλλεύεται μια ευπάθεια στην on-line εφαρμογή Java που λειτουργεί το software της Κάρτας (λέγεται Bürgerkartenumgebung ή BKU) και χρησιμοποιείται για να γίνουν τραπεζικές συναλλαγές ή να υπογραφούν έγγραφα PDF με ψηφιακή υπογραφή. Η ψηφιακή υπογραφή είναι νομικώς ισοδύναμη με μια υπογραφή σε χαρτί.
Για να γίνει αυτό, ένας εισβολέας θα πρέπει πρώτα να δημιουργήσει μια ιστοσελίδα που χρησιμοποιεί την κάρτα ταυτότητας για να επαληθεύσει, για παράδειγμα, την ηλικία του χρήστη. Όταν, τα πιθανά θύματα επισκεφθούν την υπηρεσία και εισάγουν το PIN τους στην μικροεφαρμογή BKU εισάγοντας παράλληλα την κάρτα τους σε μια συσκευή ανάγνωσης καρτών, τότε ο εισβολέας μπορεί να διαβάσει και να αποθηκεύσει τον κωδικό PIN. Ενώ το θύμα συνεχίζει να περιηγείται στην ιστοσελίδα, ο εισβολέας ενσωματώνει την εφαρμογή (applet) πάλι, αλλά αυτή τη φορά αόρατα. Αυτό το applet μπορεί να ελέγχεται πλήρως από τον απομακρυσμένο εισβολέα – από το να πατάει τα κουμπιά, μέχρι να καταχωρεί το κλεμμένο PIN. Ως εκ τούτου, ο εισβολέας μπορεί τώρα να προχωρήσει στην αυθαίρετη υπογραφή κειμένων για λογαριασμό του θύματος. Για να αποδείξει όσα ισχυρίζεται ο Ettlinger έχει κυκλοφορήσει ένα online βίντεο σε απευθείας λήψη.
Ο Ettlinger λέει ότι οι επιτιθέμενοι μπορούν να κλέψουν τα PIN και να ελέγξουν τη μικροεφαρμογή Java μέσω του LiveConnect API, το οποίο δίνει πρόσβαση σε Java μεθόδους μέσω JavaScript. Ενώ η άμεση πρόσβαση της κάρτας γίνεται σε ένα πλαίσιο με ειδικά προνόμια που εμποδίζουν την εκτέλεση JavaScript, από το περιβάλλον εργασίας χρήστη δεν προσφέρει αυτό το επίπεδο προστασίας. Ο ειδικός σε θέματα ασφαλείας λέει ότι, αν και η ευπάθεια στη μικροεφαρμογή BKU έχει πλέον διορθωθεί, ευπαθείς εκδόσεις που έχουν ήδη εγκατασταθεί, παραμένουν σε λειτουργία.
Αδυναμίες στην αλληλεπίδραση μεταξύ του αναγνώστη καρτών και τα plugins του προγράμματος περιήγησης, στο παρελθόν, έχουν βρεθεί επίσης και στο γερμανικό σύστημα: ένα μέλος του Pirate Party κατάφερε να κλωνοποιήσει το γερμανικό λογισμικό σε JavaScript και να υποκλέψουν το PIN του θύματος. Στη συνέχεια χρησιμοποίησε το PIN για να ανοίξει ένα κανάλι με το chip της κάρτας μέσω ενός plugin πρόγραμμα περιήγησης.
Austrian ID card vulnerable to spoofing attack
Security expert Wolfgang Ettlinger has discovered a vulnerability in the Austrian Citizen Card that allows attackers to spoof the credentials of their victims. This is the second time the card has been hacked. The attack exploits a vulnerability in the Java-based online version of the ID card environment (Bürgerkartenumgebung or BKU) to authorise banking transactions or sign PDF documents with the victim’s qualified signature. This digital signature is legally equivalent to a signature on paper.
To do so, an attacker must first create a web site that uses the ID card to verify, for example, the visitor’s age. When potential victims visit the service and enter their PIN into the BKU applet with their card inserted into a card reader, the attacker can read and store the PIN. While the victim continues to browse the site, the attacker embeds the applet again; but this time invisibly. This instance of the applet can be fully controlled by the remote attacker – from clicking on buttons to entering the previously harvested PIN. Therefore, the attacker can now proceed to sign arbitrary data on behalf of the victim. To demonstrate, Ettlinger has released an online video 
.
Ettlinger says that attackers can harvest PINs and control the applet via the Java LiveConnect API, which gives access to Java methods via JavaScript. While direct card access is performed in a context with special privileges that prevent JavaScript from executing, the user interface does not offer this level of protection. The security expert says that, although the BKU applet vulnerability has now been fixed, vulnerable versions that are already deployed remain functional.
Vulnerabilities in the interaction between card reader and browser plugins have previously also been found with the German system: a member of the Pirate Party managed to clone the German software in JavaScript and harvest a victim’s PIN. He then used the PIN to open a channel to the chip card via a browser plugin.
http://www.h-online.com/security/news/item/Austrian-ID-card-vulnerable-to-spoofing-attack-1543240.html
πηγη
Οι διαχειριστές του katohika.gr διατηρούν το δικαίωμα τροποποίησης ή διαγραφής σχολίων που περιέχουν υβριστικούς – προσβλητικούς χαρακτηρισμούς. Απαγορεύεται η δημοσίευση συκοφαντικών ή υβριστικών σχολίων.Σε περίπτωση εντοπισμού τέτοιων μηνυμάτων θα ακολουθεί διαγραφή
Φιλε μου ο σημερινός εχθρός σου είναι η παραπληροφόρηση των μεγάλων καναλιών. Αν είδες κάτι που σε άγγιξε , κάτι που το θεωρείς σωστό, ΜΟΙΡΆΣΟΥ ΤΟ ΤΩΡΑ με ανθρώπους που πιστεύεις οτι θα το αξιολογήσουν και θα επωφεληθούν απο αυτό! Μην μένεις απαθής. Πρώτα θα νικήσουμε την ύπνωση και μετά ΟΛΟΙ ΜΑΖΙ τα υπόλοιπα. 
Μην αφησετε την Πληροφορια να σας ξεπερασει
Επιλεξτε να γινετε οι πρωτοι που θα εχετε προσβαση στην Πληροφορια του Stranger Voice
Support Hellasbook.gr
Ολοι οι Ελληνες πατριωτες επιλεγουν το Ελληνικο κοινωνικο δικτυο https://Hellasbook.gr ελα μαζι μας γιατι ειναι λογικο πια να μην ειμαστε στους ξενους!!
Σχετικά με Κατοχικά Νέα
"Το katohika.gr δεν υιοθετεί τις απόψεις των αρθρογράφων, ούτε ταυτίζεται με τα ρεπορτάζ που αναδημοσιεύει από άλλες ενημερωτικές ιστοσελίδες και δεν ευθύνεται για την εγκυρότητα, την αξιοπιστία και το περιεχόμενό τους. Συνεπώς, δε φέρει καμία ευθύνη εκ του νόμου. Το katohika.gr , ασπάζεται βαθιά, τις Δημοκρατικές αρχές της πολυφωνίας και ως εκ τούτου, αναδημοσιεύει κείμενα και ρεπορτάζ, από όλους τους πολιτικούς, κοινωνικούς και επιστημονικούς χώρους."
Η συντακτική ομάδα των κατοχικών νέων φέρνει όλη την εναλλακτική είδηση προς ξεσκαρτάρισμα απο τους ερευνητές αναγνώστες της! Ειτε ειναι Ψεμα ειτε ειναι αληθεια !Έχουμε συγκεκριμένη θέση απέναντι στην υπεροντοτητα πληροφορίας και γνωρίζουμε ότι μόνο με την διαδικασία της μη δογματικής αλήθειας μπορείς να ακολουθήσεις τα χνάρια της πραγματικής αλήθειας! Εδώ λοιπόν θα βρειτε ότι θέλει το πεδίο να μας κάνει να ασχοληθούμε ...αλλά θα βρείτε και πολλούς πλέον που κατανόησαν και την πληροφορία του πεδιου την κάνουν κομματάκια!
Είμαστε ομάδα έρευνας και αυτό σημαίνει ότι δεν έχουμε μαζί μας καμία ταμπέλα που θα μας απομακρύνει από το φως της αλήθειας ! Το Κατοχικά Νέα λοιπόν δεν είναι μια ειδησεογραφική σελίδα αλλά μια σελίδα έρευνας και κριτικής όλων των στοιχείων της καθημερινότητας ! Το Κατοχικά Νέα είναι ο χώρος όπου οι ελεύθεροι ερευνητές χρησιμοποιούν τον τοίχο αναδημοσιεύσεως σαν αποθήκη στοιχείων σε πολύ μεγαλύτερη έρευνα από ότι το φανερό έτσι ώστε μόνοι τους να καταλήξουν στο τι είναι αλήθεια και τι είναι ψέμα και τι κρυβεται πισω απο καθε πληροφορια που αλλοι δεν μπορουν να δουν! Χωρίς να αναγκαστούν να δεχθούν δογματικές και μασημενες αλήθειες από κανέναν άλλο πάρα μόνο από την προσωπική τους κρίση!
Δείτε όλα τα άρθρα του/της Κατοχικά Νέα →
σχόλιο ID-ont: Ότι και να σχολιάσει πλέον κανείς είναι λίγο. Η Ηλεκτρονική Συνταγογράφηση στη χώρα μας, στην Αμερική, προφανώς και αλλού παραβιάζεται. H Κάρτα του Πολίτη στην Γερμανία παλαιότερα παραβιάστηκε. Το ίδιο γίνεται σήμερα και στην Αυστρία. Όλα τα συστήματα αποδεικνύονται σουρωτήρια και εμείς επιμένουμε να φτιάξουμε “ηλεκτρονικό περιουσιολόγιο” και να μοιράσουμε και στους Έλληνες την Ελληνική Κάρτα του Πολίτη. Η στραβός είναι ο γιαλός ή στραβά αρμενίζουμε…
Be the first to comment