2018/11/28

Falha no cartão de identidade alemão permite mudar de identidade


Uma coisa que os sistemas informáticos nos têm ensinado, é que nada está verdadeiramente seguro ou isento de falhas, algo que o governo germânico estará agora a descobrir relativamente aos seus cartões de identidade com RFID.

Os cartões de identidade germânicos utilizados desde 2010 vem com um prático chip RFID que permite a sua utilização para validação e identificação electrónica. O problema é que uma falha no sistema permite que qualquer pessoa possa mudar os dados no cartão, podendo assumir uma nova identidade quando o está a utilizar para se validar num serviço online.

O falha ocorre porque o sistema não faz uma validação para a existência de parâmetros repetidos, permitindo que um atacante adicione parâmetros extra após um parâmetro válido, que se sobrepõem aos dados reais. O efeito prático é o de poder dizer que a sua identidade é a de qualquer outra pessoa, ou alterar dados como a idade - por exemplo, para ter acesso a serviços que à partida não deveria ter.

Neste momento já foi disponibilizado um SDK actualizado que está imune a esta problema de "falsificação" de dados; estando a ser pedido a todos os serviços que utilizem a autenticação via cartão de identidade que passem a utilizar esta nova versão para evitar esta falha.


Sem comentários:

Enviar um comentário (problemas a comentar?)