研究人員破解了德國晶片身分證的線上驗證程序

資安業者SEC Consult本周指出，他們發現德國RFID晶片身分證的線上認證程序含有漏洞，允許駭客假冒他人身分存取網路服務。

德國從2010年開始就頒發鑲有射頻識別（RFID）晶片的數位身分證，並於晶片上存放德國民眾的身分資料，包括姓名、生日、照片，或是指紋等，民眾只要配備讀卡機及晶片身分證的客戶端軟體（eID client）就能使用線上認證功能，存取各式網路服務。

網路服務要進行認證時，會先傳送一個請求至eID client，以啟動之後的認證程序，它會要求使用者輸入PIN碼以與認證伺服器及網路應用程式交流，再由RFID晶片傳送已由認證伺服器簽署的使用者資料至網路應用程式。

SEC Consult研究人員Wolfgang Ettlinger卻找到了當中的一個漏洞，可繞過認證伺服器的保護，傳送修改過後的身分資料予網路應用程式。

該漏洞藏匿在Governikus Autent SDK，這是個允許企業將身分證認證功能整合到網路服務的軟體元件，也負責檢查eID client所傳遞資料的合法性，先是檢查這些資料是否具備認證伺服器的數位簽章，再驗證資料本身的內容，然而，該漏洞卻允許駭客在這兩個驗證程序中提供不同的資料，因為當Governikus Autent SDK確認資料通過第一個步驟的審核之後，就會理所當然地把第二步驟的內容視為合法。

在Ettlinger的示範攻擊中，他成功地變更了身分證上的名字及地址。

儘管相關攻擊仍有少許限制，例如它只影響採用Governikus Autent SDK  3.8.1或之前版本的網路應用程式，只波及使用HttpServletRequest.getParameter的網路服務，但Ettlinger估計仍有大量網路應用程式正陷身於風險中。

Governikus已在今年8月釋出Autent SDK  3.8.1.2以修補該漏洞，Ettlinger則說，若在網路應用程式的防火牆配置中拒絕同一名字的多重參數亦能有效防範攻擊。