澳大利亚税务局(ATO)使用的代理的默认登录选项容易受到代码重放攻击。”。
在a博客文章,两人描述攻击者可以使用恶意登录表单捕获用户详细信息,然后攻击者可以使用它登录myGovID用户持有的其他帐户。
攻击的核心是,当myGovID用户试图登录某个站点时,他们会被要求在myGovID智能手机应用程序中输入一个四位数的代码来验证登录——不使用密码,唯一能识别的信息是电子邮件地址。
如果攻击者能够捕获电子邮件地址,则攻击者可以使用该地址登录到另一个myGovID服务,并将生成的代码重播给用户,以便进入myGovID应用程序。一旦输入代码,用户将相信他们已登录到一个适当的站点,而攻击者可以同时在其他地方登录到他们的帐户。
当发生其他登录时,不会向用户发出警报。
“一个勤奋的用户可以检测到此攻击,该用户非常了解协议,知道他们应该只接受来自mygovid.gov.au(并知道如何检查TLS),两人写道。
“然而,我们认为这类用户很少,因为这是一种反直觉的协议,旨在逆转用户习惯的信息流。”
研究人员建议的短期缓解措施是通知用户哪个网站请求登录,从长远来看,两人建议彻底放弃这个框架。
“从长远来看,[可信数字身份框架]及其所有当前的实现都应该被弃用,代之以诸如OpenID Connect之类的开放标准,或者模仿比利时或爱沙尼亚等拥有安全公钥基础设施的国家的协议。”。
“实施和设计文件应向澳大利亚公众公开,以便识别和负责任地披露其他漏洞。
“我们没有理由相信这是这个系统中唯一的,或者说是最严重的漏洞。它的复杂性和隐藏信息的愿望使得执行和验证正确、安全的行为几乎不可能。”
对于用户来说,除非不可避免,否则他们建议不要使用myGovID,在这种情况下,为了确保他们只接收来自mygovid.gov.au现场。
“对于大多数用户来说,这不太可能奏效,因为他们很难识别具有正确URL的安全网站,”他们说。
两人表示,他们于8月19日将这一问题通知了澳大利亚信号局(Australian Signals Directorate),并在周五被澳大利亚国家税务局告知“他们不打算更改协议,此时我们立即通知他们,我们将向用户公开警告”。
10月,数字转型局表示将近7000名澳大利亚人创建了myGovID。
同样在周一上午,ATO宣布,它已经与Vocus签署了一份为期三年、1140万澳元的托管网络服务协议。
“合同规定,Vocus将在其完全独立的安全网络上,为80个ATO站点提供多达230项服务。”。
“服务类型包括IP WAN、互联网和所有现有和未来ATO站点的数据中心连接。”
该合同有三个潜在的两年延期。
Aussie Broadband chief认为有一条路径可以让一半NBN的用户使用1Gbps
