Digitaal rijbewijs had geen bescherming tegen identiteitsdiefstal


Met het programma ID Wallet moeten burgers zich digitaal kunnen identificeren aan derden, bijvoorbeeld ter vervanging van een fysiek rijbewijs. Er was echter geen bescherming tegen de toegang tot persoonsgegevens door een aanvaller. Dat blijkt uit een blogbericht van beveiligingsonderzoeker Lilith Wittmann.

Wittmann schrijft dat er geen verificatie was van de legitimatie van een gevraagde functie – man-in-the-middle- of liever machine-in-the-middle-aanvallen worden blijkbaar niet voorkomen. In de praktijk ziet het er als volgt uit: Persoon A wil de identiteit van Persoon B bepalen. Hiervoor wordt eventueel via internet een betrouwbare instantie C gevraagd. Deze C vraagt ​​bij B of het verzoek gegrond is. B is het daarmee eens, C geeft A het OK.

Dit veronderstelt dat A en B elkaar kennen en contact hebben. In de vorige implementatie kan C echter elke webserver zijn – en dat is het probleem. In het geval van een digitaal rijbewijs moet dit bijvoorbeeld voor een autoverhuurbedrijf worden gebruikt: de klant staat bij het verhuurbedrijf en vraagt ​​of het rijbewijs geldig is. Zelfs bij online verhuur zou dit dan mogelijk zijn zonder vooraf het fysieke rijbewijs te controleren.

In de specifieke uitvoering van de ID-portemonnee was dit verzoek om positie C niet beschermd. Aangezien de gegevens via QR-codes moeten worden uitgewisseld, zou het volgens de blog om een ​​lichte, vervalste QR-code van Wittmann te maken, die vervolgens verwijst naar bijvoorbeeld de server van een aanvaller, niet naar de autoriteit die het rijbewijs afgeeft zoals de Federal Motor Transport Authority (KBA).

Daarnaast zouden in het voorbeeld van on-site verhuur van een auto de digitale identiteiten ook lokaal kunnen worden opgeslagen, als C geen betrouwbare instantie is, maar een man-in-the-middle (MitmM). Dit is een ideaal geval voor criminelen, omdat de op deze manier verkregen gegevens echt zijn – en op elk moment bij de KBA kunnen worden gecontroleerd. Met dergelijke identiteiten wordt in het Darknet een levendige handel gedreven, onder meer komen de slachtoffers vaak te laat te weten over online aankopen op hun naam of dubieuze contracten.

De ID Wallet-app en de infrastructuur erachter zijn kort na de lancering op 23 september weer terug offline gehaald. Eerder was er kritiek vanuit de Duitse security scene vanwege andere problemen en server overloads. In een interview met heise online ziet Lilith Wittmann geen verband met haar ontdekkingen en de stopzetting van het project, maar schrijft ze de beslissing van de autoriteiten toe aan problemen met de infrastructuur.

De ontdekkers hebben ook een proof of concept voor de genoemde problemen met MitM-aanvallen gepubliceerd op Github. Het is gemaakt in samenwerking met een persoon die zichzelf omschrijft als een hacker die online is onder het pseudoniem Flüpke verschijnt. Flüpke bevestigde de samenwerking met heise online.


(nooit)





Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: