歐盟電子身份識別系統有漏洞，可讓駭客冒充公民身份

歐盟電子身份識別系統（eIDAS）被揭露有驗證繞過（verification bypass）漏洞，使攻擊者得以冒充歐盟用戶身份。

去年9月29日歐盟實行電子身份識別法（eIDAS），本法允許歐盟各會員國公民電子身份證跨境識別。透過eIDAS和28個會員國電子身份系統的介接，使歐盟公民用他們母國的電子身份證（eID），如身份證、駕照在其他會員國報稅、付款、申請大學課程、銀行開戶、存取電子病歷和線上公共服務。

安全廠商SEC Consult今年6月發現eIDAS節點（Node）軟體存在驗證迴避漏洞。各國電子身份系統互通，靠的是eIDAS和各國家建立的eIDAS節點傳送訊息；例如一個義大利公民要在德國Web app驗證身份，該app會由德國的eIDAS節點向義大利的節點發出呼叫，由義大利節點進行eID驗證，驗證通過後，再將該公民身份資訊回傳給德國eIDAS-Connector，再丟到最初的Web app。eIDAS節點/Service和eIDAS-Connector之間乃藉由SAML訊息達成資料交換。

為達成跨境驗證，歐盟各會員國的eIDAS節點內須安裝eIDAS-Node Integration Package軟體以實作整合。研究人員發現eIDAS-Node Integration Package的SAML語法分析（parsing）程式碼存在漏洞，讓攻擊者可繞過簽章驗證，使他得以傳送任何變造過的SAML（secure Assertion markup language，安全宣告標記語言）訊息到有漏洞的eIDAS節點。這麼一來，駭客就能藉此把假的SAML訊息及身份資訊傳給eIDAS-Connector，達到冒充身份的目的。

受影響的系統為2.1版eIDAS節點軟體。經過研究人員7月通報歐盟eID負責團隊，後者隨後釋出2.3.1版給各會員國，並在本周開放大眾下載。安全公司也呼籲所有用戶儘速升級。