Preventing and Mitigating Client-Side Vulnerabilities of Smart Card Based e-ID Applications

Engen, Svein Roger
Master thesis
Thumbnail
View/Open
URI
http://hdl.handle.net/11250/144022
Date
2012
Metadata
Show full item record
Collections
Abstract
ENGELSK: More and more companies are digitizing their services, this is because their customers demand

it. An efficient way for handling the authentication process is to use service providers that offer

this. Some service providers offer authentication with the use of smart cards.

In systems where the client’s computer is used as a terminal for accessing the smart card,

software needs to be deployed and executed on the client side. This software is used for communicating

with the smart card reader, which will then communicate with the smart card. Malware

can intercept and/or modify this communication.

In this master thesis we will use techniques such as architecture analysis, reverse engineering

and decompilation to discover possible vulnerabilities in the software that is used for communicating

with the smart card on the client’s computer. These vulnerabilities will then be exploited,

with the use of proof-of-concepts. Countermeasures to protect against these vulnerabilities will

also be discussed.
 
NORSK: Flere og flere selskaper digitaliserer sine tjenester, dette er på grunn av at kundene deres krever

det. En effektiv måte for å håndtere autentiseringsprosessen er å bruke tjenesteleverandører som

tilbyr nettopp dette. Enkelte tjenesteleverandører tilbyr autentisering ved bruk av smartkort.

I systemer der kundens PC brukes som en terminal for å få tilgang til smartkortet, må programvare

lastes ned og kjøres på klientsiden. Denne programvaren brukes til å kommunisere

med smartkortleseren, som igjen kommuniserer med smartkortet. Ondsinnet programvare kan

endre og/eller avlytte denne kommunikasjonen.

I denne masteroppgaven vil vi bruke teknikker som arkitekturanalyse, reverse engineering og

dekompilering for å oppdage mulige sårbarheter i programvaren som brukes til å kommunisere

med smartkortet på kundens datamaskin. Disse sårbarhetene vil så bli forsøkt utnyttet, med hjelp

av testimplementeringer. Mottiltak for å beskytte seg mot disse sårbarhetene vil så bli diskutert.