Systém elektronických občanských průkazů (eObčanka) obsahuje zranitelnost, která potenciálně může vést ke krádeži identity. Zjistily to bezpečnostní firmy Auxilium Cyber Security a WardenSec a informuje o tom deník E15.
Podle bezpečnostních expertů není proces přihlašování dostatečně chráněný a pokud útočník dokáže nakazit uživatelův počítač speciálně připraveným virem, může být schopen při přihlášení podvrhnout svůj vlastní kód a identitu občana ukrást.
Pokud se útočníkovi podaří upravit aplikaci eObčanka Identifikace, kterou uživatelé používají k přihlášení, může ověřovacímu serveru zaslat podvržené ID transakce a uživatel přihlášení potvrdí zadáním svého PINu (Identifikační osobní kód, IOK). Systém přitom možný útok nijak sám nedetekuje, ačkoli požadavek přichází z jiného server a IP adresy, vysvětlují analytici ve svém popisu zranitelnosti (PDF).
„Tento útok byl úspěšně odzkoušen na verzi programu eObčanka Identifikace pro Linux. Všechno však nasvědčuje tomu, že jej lze upravit i pro další verze OS včetně Windows a Mac,“ píší také.
Podle E15 ministerstvo vnitra po upozornění zranitelnost ošetřilo zatím tak, že se uživatelům v prohlížeči zobrazuje unikátní kód přihlášení. Podle analytiků to ale není dostatečná ochrana. Další možnosti zabezpečení vnitro chystá.
Komentáře