Ошибка безопасности в новой немецкой системе обработки удостоверений

Ошибка безопасности в новой немецкой системе обработки удостоверений

В Германии вводится в строй новая национальная система электронных удостоверений личности. Ее внедрение началось с 1 ноября текущего года; однако не прошло и двух недель, как в программном обеспечении для считывателей данных обнаружилась уязвимость.



Основной элемент карты электронного паспорта - беспроводной RFID-чип, хранящий изображение гражданина, его имя, адрес, дату рождения, некоторые приметы (рост, цвет волос и глаз), а также данные о месте выдачи удостоверения. Очевидно, что извлечение всех этих сведений невозможно без особого считывателя; для работы с таким считывателем предназначено особое приложение под названием AusweisApp. Немецкий исследователь Ян Шейбл, проживающий в настоящее время в Швеции, выявил в этом программном продукте ошибку безопасности.


Специалист рассказал изданию Deutsche Welle, что, загрузив программу с немецкого правительственного сайта и изучив ее, он обнаружил настораживающий факт: приложение не проверяет происхождение цифрового сертификата безопасности в процессе загрузки обновлений. Это открывает путь для возможной подмены данных и способно привести к загрузке на компьютер пользователя вредоносного программного обеспечения.


"Электронный паспорт может быть хорошо защищен, но, если дополнительные приложения, которые применяются для работы с ним, содержат подобные ошибки, то все внутренние уровни безопасности, предохраняющие персональные данные от утечки, могут оказаться бесполезны", - отметил исследователь.


Федеральное бюро информационной безопасности Германии сообщило, что выявленная проблема изучается, и идет поиск ее решения. Пока же программный продукт удален с сайта; его вновь опубликуют, когда уязвимость будет закрыта.


Infosecurity US

Банки и операторы заплатят за ошибки, которые помогли мошенникам

Россиянам могут начать возвращать деньги, переведённые телефонным мошенникам, если преступление стало возможным из-за нарушений банка или оператора связи. Процедуру компенсаций прописали в проектах постановлений к пакету «Антифрод 2.0».

Схема такая: пострадавший обращается в банк и сообщает, что отправил деньги под влиянием мошенников. Банк проверяет, должен ли был распознать подозрительную операцию и остановить перевод. Если пропустил, возмещает ущерб сам.

Если банк всё сделал правильно, заявление отправят оператору связи. Тот должен выяснить, мог ли вовремя обнаружить мошеннический номер и заблокировать его. Если ошибка была на стороне оператора, платить придётся ему.

При положительном решении деньги должны вернуть в течение 30 дней. Для трансграничных переводов срок увеличивается до 60 дней. Лимитов по размеру компенсации в финальной версии не предусмотрено.

Но автоматической страховки от любой доверчивости не будет. Если и банк, и оператор выполнили все требования, а клиент всё равно сам передал код, пароль или перевёл деньги, компенсация ему не положена.

Параллельно власти дорабатывают систему «Антифрод». Банки, операторы и ведомства будут автоматически обмениваться данными о подозрительных номерах.

В базу могут попадать телефоны, с которых рассылают фальшивые сообщения от имени «Госуслуг» или ведут незаконные массовые обзвоны. Для ошибочно внесённых номеров предусмотрят процедуру удаления.

RSS: Новости на портале Anti-Malware.ru