Hlavní navigace

Z eObčanky je pomocí viru teoreticky možné ukrást identitu, zjistily bezpečnostní firmy

Sdílet

David Slížek 7. 10. 2020

Systém elektronických občanských průkazů (eObčanka) obsahuje zranitelnost, která potenciálně může vést ke krádeži identity. Zjistily to bezpečnostní firmy Auxilium Cyber Security a WardenSec a informuje o tom deník E15.

Podle bezpečnostních expertů není proces přihlašování dostatečně chráněný a pokud útočník dokáže nakazit uživatelův počítač speciálně připraveným virem, může být schopen při přihlášení podvrhnout svůj vlastní kód a identitu občana ukrást.

Pokud se útočníkovi podaří upravit aplikaci eObčanka Identifikace, kterou uživatelé používají k přihlášení, může ověřovacímu serveru zaslat podvržené ID transakce a uživatel přihlášení potvrdí zadáním svého PINu (Identifikační osobní kód, IOK). Systém přitom možný útok nijak sám nedetekuje, ačkoli požadavek přichází z jiného server a IP adresy, vysvětlují analytici ve svém popisu zranitelnosti (PDF).

„Tento útok byl úspěšně odzkoušen na verzi programu eObčanka Identifikace pro Linux. Všechno však nasvědčuje tomu, že jej lze upravit i pro další verze OS včetně Windows a Mac,“ píší také.

Podle E15 ministerstvo vnitra po upozornění zranitelnost ošetřilo zatím tak, že se uživatelům v prohlížeči zobrazuje unikátní kód přihlášení. Podle analytiků to ale není dostatečná ochrana. Další možnosti zabezpečení vnitro chystá.

Našli jste v článku chybu?