Z eObčanky je pomocí viru teoreticky možné ukrást identitu, zjistily bezpečnostní firmy

7. 10. 2020

Sdílet

eObčanka - video - MVČR Autor: MVČR

Systém elektronických občanských průkazů (eObčanka) obsahuje zranitelnost, která potenciálně může vést ke krádeži identity. Zjistily to bezpečnostní firmy Auxilium Cyber Security a WardenSec a informuje o tom deník E15.

Podle bezpečnostních expertů není proces přihlašování dostatečně chráněný a pokud útočník dokáže nakazit uživatelův počítač speciálně připraveným virem, může být schopen při přihlášení podvrhnout svůj vlastní kód a identitu občana ukrást.

Pokud se útočníkovi podaří upravit aplikaci eObčanka Identifikace, kterou uživatelé používají k přihlášení, může ověřovacímu serveru zaslat podvržené ID transakce a uživatel přihlášení potvrdí zadáním svého PINu (Identifikační osobní kód, IOK). Systém přitom možný útok nijak sám nedetekuje, ačkoli požadavek přichází z jiného server a IP adresy, vysvětlují analytici ve svém popisu zranitelnosti (PDF).

„Tento útok byl úspěšně odzkoušen na verzi programu eObčanka Identifikace pro Linux. Všechno však nasvědčuje tomu, že jej lze upravit i pro další verze OS včetně Windows a Mac,“ píší také.

Podle E15 ministerstvo vnitra po upozornění zranitelnost ošetřilo zatím tak, že se uživatelům v prohlížeči zobrazuje unikátní kód přihlášení. Podle analytiků to ale není dostatečná ochrana. Další možnosti zabezpečení vnitro chystá.

Našli jste v článku chybu?

Autor aktuality

Šéfredaktor Lupa.cz a externí spolupracovník Českého rozhlasu Plus. Dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).