示意圖,Photo by Cédric on https://www.flickr.com/photos/puisney/1674479483 (CC BY 2.0)

歐盟電子身份識別系統(eIDAS)被揭露有驗證繞過(verification bypass)漏洞,使攻擊者得以冒充歐盟用戶身份。

去年9月29日歐盟實行電子身份識別法(eIDAS),本法允許歐盟各會員國公民電子身份證跨境識別。透過eIDAS和28個會員國電子身份系統的介接,使歐盟公民用他們母國的電子身份證(eID),如身份證、駕照在其他會員國報稅、付款、申請大學課程、銀行開戶、存取電子病歷和線上公共服務。

安全廠商SEC Consult今年6月發現eIDAS節點(Node)軟體存在驗證迴避漏洞。各國電子身份系統互通,靠的是eIDAS和各國家建立的eIDAS節點傳送訊息;例如一個義大利公民要在德國Web app驗證身份,該app會由德國的eIDAS節點向義大利的節點發出呼叫,由義大利節點進行eID驗證,驗證通過後,再將該公民身份資訊回傳給德國eIDAS-Connector,再丟到最初的Web app。eIDAS節點/Service和eIDAS-Connector之間乃藉由SAML訊息達成資料交換。

為達成跨境驗證,歐盟各會員國的eIDAS節點內須安裝eIDAS-Node Integration Package軟體以實作整合。研究人員發現eIDAS-Node Integration Package的SAML語法分析(parsing)程式碼存在漏洞,讓攻擊者可繞過簽章驗證,使他得以傳送任何變造過的SAML(secure Assertion markup language,安全宣告標記語言)訊息到有漏洞的eIDAS節點。這麼一來,駭客就能藉此把假的SAML訊息及身份資訊傳給eIDAS-Connector,達到冒充身份的目的。

受影響的系統為2.1版eIDAS節點軟體。經過研究人員7月通報歐盟eID負責團隊,後者隨後釋出2.3.1版給各會員國,並在本周開放大眾下載。安全公司也呼籲所有用戶儘速升級。


Advertisement

更多 iThome相關內容