|
|
Rubrik: Markt/Nachrichten Sicherheitslücke in AusweisApp des ePerso aufgedeckt Durch eine Schwachstelle können Angreifer auf den Rechner des Nutzers Schadsoftware aufspielen (11.11.10) - Noch in der Nacht nach ihrem Erscheinen hat Jan Schejbal, Mitglied der Piratenpartei, eine Sicherheitslücke in der AusweisApp (1), der Anwendungssoftware des ePerso, aufgedeckt. Durch eine Schwachstelle in der automatischen Update-Funktion können Angreifer auf den Rechner des Nutzers Schadsoftware aufspielen und so die Kontrolle über das Gerät erlangen. Paradoxerweise wird nun gerade die Sicherheit des Computers selbst, die auch das Innen-ministerium als Voraussetzung für die sichere Nutzung des ePerso sieht, durch die AusweisApp unterwandert.
Anzeige
"Leider konnte ich nur die AusweisApp testen, weil ich weder den ePerso noch ein entsprechendes Lesegerät habe", erklärt Jan Schejbal. "Es bestehen aber garantiert noch größere Sicherheits-lücken. Der eigentliche Kern des ePerso-Systems - der Chip und die Protokolle - ist zwar sicher konstruiert, aber im Umfeld gibt es Schwachstellen. Ich bin sicher, dass es auch möglich ist, die PIN und eventuell die aufgedruckte Kartenzugangsnummer zu entwenden, auch ohne dass dafür der Rechner des Nutzers verseucht werden muss. Ein anderer Angriff erlaubt es gegebenenfalls auch, dem Nutzer vorzutäuschen, dass er sich für etwas Ungefährliches ausweist, während der Angreifer mit dessen Identität einkaufen geht. Kurz: Die Behauptung des Innenministeriums, die Verwendung des ePerso sei sicher, ist - wie zu erwarten war - absolut unhaltbar." Die AusweisApp aktualisiert sich
automatisch bei jedem Start. Dabei versucht sie, eine sichere Verbindung zum
Update-Server aufzubauen. Mit einer Reihe von Tricks kann ein Angreifer, der
die Internetverbindung zum Beispiel über ein ungesichertes W-LAN-Netzwerk
oder einen manipulierten DNS-Server kontrolliert, die vermeintlich sichere Verbindung
umleiten und ein gefälschtes Updatepaket einschleusen. Durch einen weiteren
Fehler kann auch die zweite Sicherheitsebene umgangen werden, wodurch der
Angreifer beispielsweise eigene (Schad-)Software installieren kann. Eine
ausführliche technische Beschreibung des Angriffs mitsamt der
zum Ausprobieren nötigen Dateien hat Jan Schejbal
in seinem Blog veröffentlicht (2). (Piratenpartei: ma) (1) Software zur Nutzung des neuen Personalausweis am Computer, früher unter dem Namen "Bürgerclient" angekündigt. (2) http://janschejbal.wordpress.com/ |
