В расширении для ИД-карт нашли критическую уязвимость
(20)
В конце января Департамент государственной инфосистемы (RIA) обновил расширение браузера для ID-карты (плагин), чтобы исправить критическую ошибку, которую помогли обнаружить ученые Тартуского университета. Программное обеспечение для ID-карты (ID-Updater) сообщает пользователям о необходимости обновления. Если программное обеспечение еще не выдает сообщения об автоматическом обновлении, то новую версию можно загрузить здесь.
В декабре партнерское учреждение RIA сообщило об уязвимости в плагине веб-браузера, то есть в программе, которая используется для проставления цифровой подписи в э-услуге с помощь ID-карты в веб-браузерах Chrome, FireFox, Safari, Internet Explorer Edge и Edge Chromium.
Злоумышленник мог бы воспользоваться уязвимостью плагина, если бы получил или имел контроль над сайтом, где можно аутентифицироваться с ID-картой. Если пользователь входит с ID-картой на портал, находящийся под контролем злоумышленника, то последний мог бы воспользоваться информацией по процедуре аутентификации, чтобы войти в ту или иную э-услугу от имени пользователя, и пользователь не знал бы об этом.
”Насколько известно RIA, данной уязвимостью никто не воспользовался, согласно имеющейся на сегодняшний день информации ни один пользователь не пострадал. Ошибка в системе безопасности устранена, и пользователи не должны беспокоиться”, — сказал руководитель отдела электронной идентификации Марк Эрлих. ”Уязвимость не была такой, на которую злоумышленники могли бы легко наткнуться, для ее обнаружения пришлось бы приложить достаточно усилий, и теоретически для использования данных в корыстных целях требовалось также иметь контроль над сайтом, где можно аутентифицироваться с ID-картой”, — уточнил Эрлих.
”К сожалению, в цифровом мире является довольно обычным явлением, что время от времени обнаруживаются уязвимости в системе безопасности, которые все же быстро исправляются. Ни одно решение не сохраняется безопасным просто так, их следует постоянно обновлять и проверять. RIA, наши партнеры в публичном и частном секторе и ученые постоянно занимаются выявление уязвимых мест в системе безопасности и их устранением, чтобы идти в ногу с новыми приемами хакеров”, — добавил Эрлих.
По его словам, силу э-государства и хорошее сотрудничество с обществом ярко иллюстрирует тот факт, что ведется постоянная проверка безопасности решений eID. ”Если обнаруживается уязвимость, то о ней немедленно сообщается. Таким образом, государство может сразу же отреагировать и устранить уязвимость. Большое спасибо партнерам и ученым, которые обнаружили уязвимость до злонамеренных действий и сообщили о ней”, — сказал Эрлих.
После обновления расширения браузера поставщики некоторых э-услуг должны произвести изменения в своих системах. Это означает, что до тех пор, пока в э-услугу не будут внесены свежие обновления, в нее нельзя будет войти с ID-картой. ”Насколько нам известно, таких услуг мало. Таким образом, это не сильно повлияло на интернет-привычки людей”, — заметил Эрлих. Крупные поставщики э-услуг на сегодняшний день произвели необходимые изменения, поэтому использование ID-карты в этих услугах не нарушено.
