Çevrimiçi kimlik kartının güvenliğinde herhangi bir boşluk var mı? Bir bilgisayar korsanı, sahte veriler kullanarak başka birinin adına bir banka hesabı açtığını iddia ediyor.
“Spiegel” tarafından hazırlanan bir rapora göre, bir bilgisayar korsanı Alman kimlik kartının çevrimiçi kullanımında bir güvenlik açığı keşfetti. Resmi olarak sağlanan “Kimlik Uygulaması” yerine kendi uygulamasını kullanarak kimlik kartının eID işlevi olarak adlandırılan giriş verilerine erişmeyi başardı.
Rapora göre bu fonksiyon 50 milyondan fazla kimlik kartı sahibi için aktif hale getiriliyor ve dijital idari prosedürlerin temelini oluşturuyor. Diğer şeylerin yanı sıra bankalarda kimlik tespiti için de kullanılır. “CtrlAlt” takma adını kullanan hacker, bu hileyi kullanarak büyük bir Alman bankasında başka birinin adına hesap açmayı başardı.
Hacker bunu böyle yaptı
“CtrlAlt”ın hacklemeyi tam olarak nasıl gerçekleştirdiği “Spiegel” tarafından şöyle anlatılıyor: İlk olarak, eID kullanıcılarının internete giriş yaptıklarında cep telefonlarına girdikleri altı haneli PIN kodunu kaydedebilen basit bir program geliştirdi. Federal hükümet tarafından önerilen ve Bremen şirketi Governikus tarafından geliştirilen resmi kimlik uygulaması, kaynak kodunun kasıtlı olarak kamuya açık olması nedeniyle ona yardımcı oldu. Basitçe “CtrlAlt”ı kopyalayıp amaçlarıma göre uyarlayabildim.
Saldırının ön koşulu, bilgisayar korsanının kurbanın akıllı telefonuna girmesidir. Dergiye göre bunu mümkün kılan Truva atı yazılımı karaborsada mevcut.
Kaos Bilgisayar Kulübü'nden uzmanlar uyarıyor
Kaos Bilgisayar Kulübü'nün (CCC) bir sözcüsü, “Spiegel”e hackerın mobil cihazlardaki eID sürecinde kritik bir noktayı vurguladığını doğruladı. Sözcü, haber dergisine “Bu gerçekçi bir saldırı senaryosu” dedi. “Resmi olarak onaylananın dışında bir kimlik uygulamasının, eID kimlik doğrulaması için cep telefonuna kayıt olup bağlanabilmesi engellenmelidir.”
Bilgisayar korsanı, 31 Aralık'ta bulguları hakkında sorumlu Federal Bilgi Güvenliği Dairesi'ni (BSI) bilgilendirdi. Ancak rapora göre Federal Ofis “Spiegel”e “eID kullanırken risk değerlendirmesini değiştirmek için hiçbir neden görmediğini” söyledi. Dolayısıyla bu, eID sistemine değil, kullanıcıların uç cihazlarına yönelik bir saldırıdır. Ancak bir düzenleme incelenecektir.