Preventing and Mitigating Client-Side Vulnerabilities of Smart Card Based e-ID Applications
Abstract
ENGELSK: More and more companies are digitizing their services, this is because their customers demand
it. An efficient way for handling the authentication process is to use service providers that offer
this. Some service providers offer authentication with the use of smart cards.
In systems where the client’s computer is used as a terminal for accessing the smart card,
software needs to be deployed and executed on the client side. This software is used for communicating
with the smart card reader, which will then communicate with the smart card. Malware
can intercept and/or modify this communication.
In this master thesis we will use techniques such as architecture analysis, reverse engineering
and decompilation to discover possible vulnerabilities in the software that is used for communicating
with the smart card on the client’s computer. These vulnerabilities will then be exploited,
with the use of proof-of-concepts. Countermeasures to protect against these vulnerabilities will
also be discussed. NORSK: Flere og flere selskaper digitaliserer sine tjenester, dette er på grunn av at kundene deres krever
det. En effektiv måte for å håndtere autentiseringsprosessen er å bruke tjenesteleverandører som
tilbyr nettopp dette. Enkelte tjenesteleverandører tilbyr autentisering ved bruk av smartkort.
I systemer der kundens PC brukes som en terminal for å få tilgang til smartkortet, må programvare
lastes ned og kjøres på klientsiden. Denne programvaren brukes til å kommunisere
med smartkortleseren, som igjen kommuniserer med smartkortet. Ondsinnet programvare kan
endre og/eller avlytte denne kommunikasjonen.
I denne masteroppgaven vil vi bruke teknikker som arkitekturanalyse, reverse engineering og
dekompilering for å oppdage mulige sårbarheter i programvaren som brukes til å kommunisere
med smartkortet på kundens datamaskin. Disse sårbarhetene vil så bli forsøkt utnyttet, med hjelp
av testimplementeringer. Mottiltak for å beskytte seg mot disse sårbarhetene vil så bli diskutert.