中华花木网 > 澳门彩库网626969 > 2020年第3期的脑筋急转弯
本书标签: 2020新版跑狗图002期  6合宝典彩图2017下载  香港开马加速开奖     

2020年第3期的脑筋急转弯

2020年第3期的脑筋急转弯

图片来源: 

德国联邦印制厂。

资安业者,他们发现德国RFID晶片身分证的线上认证程序含有漏洞,允许骇客假冒他人身分存取网路服务。

德国从2010年开始就颁发镶有射频识别(RFID)晶片的数位身分证,并于晶片上存放德国民众的身分资料,包括姓名、生日、照片,或是指纹等,民众只要配备读卡机及晶片身分证的客户端软体(eIDclient)就能使用线上认证功能,存取各式网路服务。

网路服务要进行认证时,会先传送一个请求至eIDclient,以启动之后的认证程序,它会要求使用者输入PIN码以与认证伺服器及网路应用程式交流,再由RFID晶片传送已由认证伺服器签署的使用者资料至网路应用程式。

SECConsult研究人员WolfgangEttlinger却找到了当中的一个漏洞,可绕过认证伺服器的保护,传送修改过后的身分资料予网路应用程式。

该漏洞藏匿在GovernikusAutentSDK,这是个允许企业将身分证认证功能整合到网路服务的软体元件,也负责检查eIDclient所传递资料的合法性,先是检查这些资料是否具备认证伺服器的数位签章,再验证资料本身的内容,然而,该漏洞却允许骇客在这两个验证程序中提供不同的资料,因为当GovernikusAutentSDK确认资料通过第一个步骤的审核之后,就会理所当然地把第二步骤的内容视为合法。

在Ettlinger的示范攻击中,他成功地变更了身分证上的名字及地址。

尽管相关攻击仍有少许限制,例如它只影响采用GovernikusAutentSDK 或之前版本的网路应用程式,只波及使用的网路服务,但Ettlinger估计仍有大量网路应用程式正陷身于风险中。

Governikus已在今年8月释出AutentSDK 以修补该漏洞,Ettlinger则说,若在网路应用程式的防火墙配置中拒绝同一名字的多重参数亦能有效防范攻击。

上一章:手机开奖结果直播118开奖 2020年第3期的脑筋急转弯 最新动态 下一章:刘伯温白小姐一马一肖中特期期准