根據數字安全專家的分析,德國的數字ID可能受到惡意攻擊者的威脅。
一位白帽子黑客最近展示了網絡犯罪分子如何對在線版本的德國國家身份證(被稱為EID)進行中間攻擊。該脆弱性可能會對目前使用該系統的大約1000萬人構成危險。
黑客說:“我很容易折衷系統。”告訴新聞媒體Der Spiegel。
匿名數字研究人員以Ctrlalt的名字命名,它構建了一個可以記錄六位數PIN用戶輸入的應用程序,以登錄其智能手機上的EID。為了幫助該過程,他使用了官方的EID應用程序代碼,該代碼可在線用作開源軟件。
惡意軟件可能會通過複雜的特洛伊木馬軟件在用戶的智能手機上安裝,該軟件可以訪問整個智能手機,類似於某些政府針對持不同政見者和記者的目標。另外,網絡犯罪分子還可以通過欺騙用戶從應用商店下載欺詐性應用程序來放置惡意軟件。
根據Hacker的說法,惡意演員可以將用戶登錄到一個假的EID應用帳戶中,並截取用於登錄其他EID服務的數據,包括政府服務,EHealth平台和銀行系統。分析上週五的襲擊。
克特拉特說,他通知了德國聯邦信息安全辦公室(BSI)去年12月,該機構承認了漏洞。 BSI在對Der Spiegel的回應中說,沒有證據表明進行了特定的攻擊,並且沒有理由對使用EID進行風險評估發生變化。
它說:“從BSI的角度來看,這不是對EID系統的攻擊,而是對用戶的最終設備的攻擊。”
但是,Ctrlalt說,這對用戶承擔了維護客戶設備安全性的不適當責任。隨著擴大德國數字ID系統的計劃,問題可能會持續下去。自2017年以來,該國在發布新的時自動將公民納入開齋節計劃身份證。現在,德國有5600萬人擁有開齋節。
