德国电子政务SDK修补了ID欺骗漏洞

德国修补了一项关键的“电子政务”服务，以防止可能的冒充攻击，私人和公共部门开发商都被告知要检查他们的日志以获取漏洞证据。

7月，SEC咨询公司警告该国联邦计算机应急小组在CERT-Bund，支持政府nPA身份证的软件存在严重漏洞(身份证本身并未遭到破坏)。

Governikus Autent SDK允许Web开发人员根据nPA检查用户的身份。SEC Consult说，由于HTTP的怪癖，系统可能会被欺骗以验证错误的人。

SEC Consult的披露就在这里，它在这篇博文中解释了漏洞利用过程。

使用智能卡读卡器和电子ID(eID)客户端软件(例如政府的AusweisApp 2)进行在线验证。验证公民，Web应用程序(可以是税务等政府服务，或者是私人服务，例如银行或保险公司)向eID客户发送请求。

“它向用户请求PIN，与身份验证服务器(eID-Server或SAML-Processor)，Web应用程序和RFID芯片通信，最后向Web应用程序发送响应。此响应包含从身份证，例如公民的姓名或出生日期，“该公司说。

为防止操纵，身份验证服务器将数字签名应用于其响应，但SDK的作者未考虑允许模拟的HTTP特征。

HTTP允许多个参数具有相同的名称。“当该方法HttpRedirectUtils.checkQueryString创建查询字符串的规范版本时，它会从中解析参数并生成一个新查询字符串，其中的参数按特定顺序排列。不考虑参数可多次出现的情况，”SEC咨询中写道。

这意味着攻击者可以“在不使签名失效的情况下”任意操纵[来自服务器]的响应“。

“因此，攻击者可以随意修改可信查询字符串。通过获取此类字符串(例如，通过提供具有nPA登录的Web应用程序然后检查访问日志)，他能够像任何公民一样针对任何易受攻击的Web应用程序进行身份验证同样信任签名发行人的，“披露解释，如本视频所示：

CERT-Bund告诉SEC Consult，该漏洞已于10月底修补