ترمیم سامانه احراز هویت اتحادیه اروپا
به گزارش کارگروه امنیت سایبربان؛ مقامات اروپایی به تازگی یک وصله را برای آسیبپذیری سامانه احراز هویت ایداس (eIDAS) منتشر کردهاند. این بروزرسانی 2 نقص امنیتی را برطرف میکند که هکرها به کمک آن میتوانستند خود را به عنوان یک شهروند اتحادیه اروپا یا کسبوکارها مختلف در تراکنشهای مالی معرفی کنند.
ایداس مخفف خدمات شناسایی، تأیید اعتبار و اطمینان الکتریکی است. این سامانه دارای از رمزنگاری قدرتمندی بهره برده و به در زمینه مدیریت معاملات الکترونیکی و امضاهای دیجیتالی میان کشورهای عضو اتحادیه اروپا، شهروندان و مشاغل آن به کار گرفته میشود.
اتحادیه اروپا، ایداس را در سال 2014 راهاندازی کرد تا به مقامات، شهروندان و کسبوکارها اجازه دهد، معاملات الکتریکی برونمرزی انجام دهند.
ایداس ند (eIDAS-Node)، نرمافزاری رسمی است که سازمانهای دولتی به منظور پشتیبانی از تراکنشهای بستر ایداس از آن بهره میگیرند؛ بنابراین هرگونه آسیبپذیری در آن به هکرها اجازه میدهد معاملات رسمی و دیجیتالی میان اعضای اتحادیه اروپا مانند پرداختهای مالیات، تراکنشهای بانکی، حملونقل کالا و بسیاری موارد دیگر با اختلال مواجه شوند.
محققان امنیتی شرکت «SEC Consult»، شرح دادند 2 آسیبپذیری که امکان جعل هویت اعضا را فراهم میکند، شناسایی کردهاند. آنها متوجه شدند که نسخه فعلی ایداس-ند توانایی تأیید اعتبارنامههای به کار رفته در عملیات ایداس را ندارد؛ بنابراین مهاجمان امکان جعل آنها را به دست میآورند.
در حمله یاد شده مهاجم تنها باید یک اتصال مخرب را به یکی از سرورهای ایداس برقرار کرده و از اعتبارنامههای جعلی سو استفاده کند.
ولفگانگ اتلینگر (Wolfgang Ettlinger)، یکی از مقامات شرکت یاد شده توضیح داد:
ما بهواسطه برنامهای که کمیسیون اتحادیه اروپا ارائه کرده است، امکان انجام حمله یاد شده را به نمایش گذاشتیم؛ بنابراین ما انتظار داریم این حمله در واقعیت نیز عملی شود. با وجود این اطلاعات دقیق در رابطه با پیکربندیهای اضافی یا سامانههای امنیتی مستقر در آن وجود ندارد؛ بنابراین نمیتوانیم با دقت کامل بگوییم هرکدام از کشورها عضو تا چه میزان تحت تأثیر آسیبپذیریهای یاد شده قرار دارند.
