 |
# taz.de -- "AusweisApp" gehackt: Die Perso-Software hat ein Leck |
|
|
|
> Wer den neuen Personalausweis im Internet nutzt, braucht die sogenannte |
|
> "AusweisApp" um sich auszuweisen und Dokumente zu signieren. Leider ist |
|
> sie nicht ganz dicht. |
|
|
 |
Bild: Schön bunt, aber auch sicher? So wirbt das Bundesministerium für E-Pers… |
|
|
|
Ärger mit der "AusweisApp": Das Programm, mit dem man den neuen |
|
Personalausweis im Internet nutzen kann, um Behördenpost zu signieren oder |
|
sich gegenüber einem Online-Shop elektronisch auszuweisen, enthält eine |
|
Sicherheitslücke. |
|
|
|
Wie der Internet-Aktivist Jan Schejbal in seinem [1][Blog] berichtet, ist |
|
der Perso selbst nicht betroffen, doch lässt sich die "AusweisApp" dazu |
|
verwenden, Datenschädlinge auf den Rechner zu bringen. Da sich die vom |
|
Bundesinnenministerium angebotene Anwendung, die früher "Bürgerclient" |
|
hieß, wohl rasant verbreiten wird, könnte sie schnell zum Angriffsziel |
|
werden. |
|
|
|
Die Lücke steckt laut Schejbal in der automatischen Updatefunktion der |
|
"AusweisApp". Sie lädt zwar eine eventuell verfügbare Aktualisierung |
|
mittels der Verschlüsselungstechnik SSL herunter, überprüft dabei aber |
|
nicht, ob das übermittelte Sicherheitszertifikat auch zum Namen des |
|
absendenden Servers passt. Ausnutzen lässt sich das beispielsweise in einem |
|
offenen Netz, etwa in einem Internet-Café. Dort wäre es möglich, den |
|
offiziellen "AusweisApp"-Server zu imitieren, indem man die Namensauflösung |
|
(DNS) manipuliert - für halbwegs versierte Angreifer kein großes Problem. |
|
|
|
Anschließend verschickt man dann eine manipulierte Version der |
|
"AusweisApp". Zwar wird der Download anschließend noch einmal mit Hilfe |
|
einer elektronischen Signatur überprüft. Doch hier steckt eine weitere |
|
Lücke. Mittels geschickter Manipulation kann man laut Schejbal Programmcode |
|
auch außerhalb der "AusweisApp"-Verzeichnisse hinterlassen und damit an |
|
anderer Stelle Schädlingscode ablegen. |
|
|
|
Immerhin soll die Problematik in der "AusweisApp", wie Schejbal schreibt, |
|
leicht zu beheben sein. Die Entwickler müssen nur ein Update nachreichen, |
|
das die fehlerhafte Server-Überprüfung und die Möglichkeit ersetzt, in |
|
fremde Verzeichnisse zu schreiben. Bleibt zu hoffen, dass genügend Nutzer |
|
das Programm schnell genug aktualisieren, bevor Virenproduzenten auf die |
|
Idee kommen, die Lücke auszunutzen. |
|
|
|
Wer auf Nummer sicher gehen will, sollte nicht die automatische |
|
Update-Funktion nutzen, sobald die Aktualisierung bereit steht, sondern |
|
sich diese [2][direkt aus dem Web] besorgen. Moderne Webbrowser überprüfen, |
|
ob der Server auch zur Signatur passt. |
|
|
|
Für das Bundesinnenministerium (BMI) ist die "AusweisApp"-Panne nur die |
|
jüngste Perso-Peinlichkeit. So hatte der Chaos Computer Club bereits eine |
|
möglicherweise [3][schwerwiegende Sicherheitslücke] bei der Verwendung des |
|
neuen Ausweises am PC aufgedeckt, an der das BMI wegen des Kaufs billiger |
|
Kartenleser auch noch [4][teilweise mitschuldig] war. |
|
|
|
10 Nov 2010 |
|
|
|
## LINKS |
|
|
 |
[1] http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber… |
|
[2] http://www.ausweisapp.bund.de/pweb/cms/index.jsp |
|
[3] /1/politik/deutschland/artikel/1/zweifel-am-neuen-personalausweis/ |
|
[4] /1/politik/deutschland/artikel/1/mieser-geschenkter-gaul/ |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Überwachung |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Analyse des E-Perso und der AusweisApp: Sicherheitsprobleme mit zwei Ohren |
|
|
|
Nachdem sie gehackt wurde, ist die AusweisApp für den neuen Personalausweis |
|
nun wieder online - wenn auch nicht für jeden. Eine Analyse der Stärken und |
|
Schwächen. |
|
|
|
Pannen beim neuen Personalausweis: Ausweise mit leeren Chips |
|
|
|
Auf den neuen elektronischen Personalausweis muss man Wochen warten und |
|
kann die neuen Funktionen nicht nutzen. Die technischen Probleme sorgen für |
|
Protest. |
|
|
|
Sicherheitsmängel beim E-Perso: AusweisApp ist wieder offline |
|
|
|
Die Software für den elektronischen Personalausweis muss nach der |
|
Entdeckung einer Sicherheitslücke erneuert werden. Eine neue Version soll |
|
bald bereitstehen. |
