Piratenpartei beweist: "AusweisApp" des ePerso ist unsicher
Piratenpartei beweist: "AusweisApp" des ePerso ist unsicher
Sicherheitslücke in AusweisApp wenige Stunden nach Veröffentlichung von PIRATEN aufgedeckt
Noch in der Nacht nach ihrem Erscheinen hat Jan Schejbal, Mitglied der Piratenpartei, eine Sicherheitslücke in der AusweisApp (*), der Anwendungssoftware des ePerso, aufgedeckt. Durch eine Schwachstelle in der automatischen Update-Funktion können Angreifer auf den Rechner des Nutzers Schadsoftware aufspielen und so die Kontrolle über das Gerät erlangen. Paradoxerweise wird nun gerade die Sicherheit des Computers selbst, die auch das Innenministerium als Voraussetzung für die sichere Nutzung des ePerso sieht, durch die AusweisApp unterwandert.
"Leider konnte ich nur die AusweisApp testen, weil ich weder den ePerso noch ein entsprechendes Lesegerät habe", erklärt Jan Schejbal. "Es bestehen aber garantiert noch größere Sicherheitslücken. Der eigentliche Kern des ePerso-Systems - der Chip und die Protokolle - ist zwar sicher konstruiert, aber im Umfeld gibt es Schwachstellen. Ich bin sicher, dass es auch möglich ist, die PIN und eventuell die aufgedruckte Kartenzugangsnummer zu entwenden, auch ohne dass dafür der Rechner des Nutzers verseucht werden muss. Ein anderer Angriff erlaubt es gegebenenfalls auch, dem Nutzer vorzutäuschen, dass er sich für etwas Ungefährliches ausweist, während der Angreifer mit dessen Identität einkaufen geht. Kurz: Die Behauptung des Innenministeriums, die Verwendung des ePerso sei sicher, ist – wie zu erwarten war – absolut unhaltbar."
Die AusweisApp aktualisiert sich automatisch bei jedem Start. Dabei versucht sie, eine sichere Verbindung zum Updateserver aufzubauen. Mit einer Reihe von Tricks kann ein Angreifer, der die Internetverbindung zum Beispiel über ein ungesichertes W-LAN Netzwerk oder einen manipulierten DNS-Server kontrolliert, die vermeintlich sichere Verbindung umleiten und ein gefälschtes Updatepaket einschleusen. Durch einen weiteren Fehler kann auch die zweite Sicherheitsebene umgangen werden, wodurch der Angreifer beispielsweise eigene (Schad-)Software installieren kann. Eine ausführliche technische Beschreibung des Angriffs mitsamt der zum Ausprobieren nötigen Dateien hat Jan Schejbal in seinem Blog veröffentlicht, [1] ein Pressefoto finden Sie auf Pirate-Images.net. [2]
Die Piratenpartei, die sich gegen den ePerso ausspricht, hatte vor seiner Einführung gewarnt und allen Bürgern geraten, sich rechtzeitig noch einen alten Ausweis ausstellen zu lassen. Angesichts der bestehenden Sicherheitslücken sollten Anwender vom Einsatz des Personalausweises am Computer absehen, bis eine sichere Version der dazugehörigen Software zur Verfügung steht. [3]
* Software zur Nutzung des neuen Personalausweis am Computer, früher unter dem Namen "Bürgerclient" angekündigt.
[1] http://janschejbal.wordpress.com/2010/11/09/auswei...
[2] http://pirate-images.net/displayimage.php?pos=-397
[3] http://www.piratenpartei.de/1010296-Wirklich-frei-...
Leider kann man die alten Ausweise nicht mehr Bekommen. Es gibt nur noch die neuen.
Bis dann
LG von J.Hey
> "Abschaffen dürfte nach meinen Gefühl nicht mehr gehen, er ist jetzt der Personalausweis der BRD"
Wieso das denn nicht???
Der alte, den ich habe, war auch mal Ausweis - und wird es auch jahrelang noch sein. Und mit dem Neuen wurde er doch auch abgeschafft, obwohl er Ausweis der BRD war ;)
Nee, nee - wer will, kann den auch wieder abschaffen und einen besseren einführen.
> "Besonders da wir ja einen Reisepass mit den Eigenschaften (Biometrische Daten) schon haben"
Den konnte ich bisher auch meiden ;)