Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Nov 22, 2018 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
Utilizzare la tecnologia per sostituire i classici documenti è una di quelle suggestioni che affascinano le pubbliche amministrazioni da anni.
Le cose, però, non vanno sempre per il verso giusto e le figuracce sono sempre dietro l’angolo. A cascarci oggi è la Germania, che ha introdotto la carta di identità elettronica dotata di chip RFID nell’ormai lontano 2010.
Nelle intenzioni del governo di Berlino, il (quasi) nuovo documento elettronico avrebbe dovuto rendere più semplici le procedure di autenticazione online, consentendo ai possessori di saltare le procedure di verifica manuale grazie all’uso di un lettore di smartcard.
Il sistema sfrutta un sistema di autenticazione attraverso server, che impedisce (o dovrebbe impedire) la manipolazione dei dati.
Wolfgang Ettlinger del SEC Consult Vulnerability Lab ha però scoperto che c’è una vulnerabilità ce consente di aggirare questa procedura.
Come Ettlinger spiega nel suo report, il problema si annida in un componente software chiamato Governikus Autent SDK, che esegue la verifica dei dati in due passaggi. Nel primo controlla la validità della firma digitale, mentre nel secondo controlla i dati trasmessi.
La falla di sicurezza individuata dai ricercatori consente, in pratica, di inviare un messaggio che certifica la validità della firma e, di conseguenza, avvia l’esecuzione della seconda fase.
Risultato: chiunque riesca a sfruttare il bug sarebbe in grado di alterare i suoi dati o (cosa ben più grave) impersonare un altro cittadino tedesco.
La vulnerabilità non colpisce tutte le applicazioni Web che sfruttano il metodo di autenticazione basato sulle carte d’identità digitali, ma solo quelle che usano la versione 3.8.1 (o precedenti) di Governikus Autent SDK.
Dopo la segnalazione, lo sviluppatore ha realizzato una nuova versione (3.8.1.2) di Governikus, che mette al riparo dall’exploit scoperto dai ricercatori. Come al solito, il problema riguarda i tempi di aggiornamento delle Web Application che lo utilizzano. Ma stiamo parlando comunque della Germania, quindi si può essere fiduciosi…
Gen 04, 2023 0
Ott 19, 2022 0
Gen 28, 2022 0
Gen 27, 2022 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...