Ошибка безопасности в новой немецкой системе обработки удостоверений

Ошибка безопасности в новой немецкой системе обработки удостоверений

В Германии вводится в строй новая национальная система электронных удостоверений личности. Ее внедрение началось с 1 ноября текущего года; однако не прошло и двух недель, как в программном обеспечении для считывателей данных обнаружилась уязвимость.



Основной элемент карты электронного паспорта - беспроводной RFID-чип, хранящий изображение гражданина, его имя, адрес, дату рождения, некоторые приметы (рост, цвет волос и глаз), а также данные о месте выдачи удостоверения. Очевидно, что извлечение всех этих сведений невозможно без особого считывателя; для работы с таким считывателем предназначено особое приложение под названием AusweisApp. Немецкий исследователь Ян Шейбл, проживающий в настоящее время в Швеции, выявил в этом программном продукте ошибку безопасности.


Специалист рассказал изданию Deutsche Welle, что, загрузив программу с немецкого правительственного сайта и изучив ее, он обнаружил настораживающий факт: приложение не проверяет происхождение цифрового сертификата безопасности в процессе загрузки обновлений. Это открывает путь для возможной подмены данных и способно привести к загрузке на компьютер пользователя вредоносного программного обеспечения.


"Электронный паспорт может быть хорошо защищен, но, если дополнительные приложения, которые применяются для работы с ним, содержат подобные ошибки, то все внутренние уровни безопасности, предохраняющие персональные данные от утечки, могут оказаться бесполезны", - отметил исследователь.


Федеральное бюро информационной безопасности Германии сообщило, что выявленная проблема изучается, и идет поиск ее решения. Пока же программный продукт удален с сайта; его вновь опубликуют, когда уязвимость будет закрыта.


Infosecurity US

Базальт СПО показала новые продукты и крупные проекты миграции на ОС Альт

В Москве прошла четвертая партнерская конференция «Базальт СПО» AltConf: Orange Season, приуроченная к 25-летию ALT Linux. Мероприятие собрало более 2,3 тыс. участников в онлайн- и офлайн-форматах. Одной из главных тем стала миграция крупных организаций на российские операционные системы.

В «Ростелекоме» на «Альт Рабочую станцию» перевели свыше 60 тыс. устройств. Перед началом проекта специалисты проверили совместимость 850 ИТ-сервисов, а сам переход проводили поэтапно. В среднем настройка одного рабочего места занимала три-четыре часа.

Опытом внедрения решений «Альт» также поделились «Россети». Компания выбрала их после тестирования нескольких операционных систем — в том числе благодаря интеграции с Active Directory и поддержке необходимого прикладного ПО. Процесс миграции автоматизировали с помощью системы централизованного управления рабочими станциями.

Еще один проект представил Национальный инновационный центр Казахстана. Национальная операционная система QAZOS создана на базе «Альт Платформы», локализована на казахский язык и адаптирована под местное законодательство. Сейчас ее готовят к внедрению в госорганизациях и на объектах критической инфраструктуры.

«Базальт СПО» также рассказала о планах на 2026 год. Компания готовит системы «Альт Оркестрация» для контейнерных сред, новую редакцию «Альт Виртуализации» на базе OpenNebula и линейку «Альт Контроллер» с поддержкой режима реального времени. При этом жизненный цикл платформы p11 решено продлить, а выпуск двенадцатой версии пока не планируется.

На конференции также объявили о сотрудничестве с разработчиком процессоров «Иртыш» и производителем мобильных устройств MIG. Стороны займутся адаптацией ОС «Альт» для российского оборудования.

RSS: Новости на портале Anti-Malware.ru