# taz.de -- "AusweisApp" gehackt: Die Perso-Software hat ein Leck | |
> Wer den neuen Personalausweis im Internet nutzt, braucht die sogenannte | |
> "AusweisApp" um sich auszuweisen und Dokumente zu signieren. Leider ist | |
> sie nicht ganz dicht. | |
Bild: Schön bunt, aber auch sicher? So wirbt das Bundesministerium für E-Pers… | |
Ärger mit der "AusweisApp": Das Programm, mit dem man den neuen | |
Personalausweis im Internet nutzen kann, um Behördenpost zu signieren oder | |
sich gegenüber einem Online-Shop elektronisch auszuweisen, enthält eine | |
Sicherheitslücke. | |
Wie der Internet-Aktivist Jan Schejbal in seinem [1][Blog] berichtet, ist | |
der Perso selbst nicht betroffen, doch lässt sich die "AusweisApp" dazu | |
verwenden, Datenschädlinge auf den Rechner zu bringen. Da sich die vom | |
Bundesinnenministerium angebotene Anwendung, die früher "Bürgerclient" | |
hieß, wohl rasant verbreiten wird, könnte sie schnell zum Angriffsziel | |
werden. | |
Die Lücke steckt laut Schejbal in der automatischen Updatefunktion der | |
"AusweisApp". Sie lädt zwar eine eventuell verfügbare Aktualisierung | |
mittels der Verschlüsselungstechnik SSL herunter, überprüft dabei aber | |
nicht, ob das übermittelte Sicherheitszertifikat auch zum Namen des | |
absendenden Servers passt. Ausnutzen lässt sich das beispielsweise in einem | |
offenen Netz, etwa in einem Internet-Café. Dort wäre es möglich, den | |
offiziellen "AusweisApp"-Server zu imitieren, indem man die Namensauflösung | |
(DNS) manipuliert - für halbwegs versierte Angreifer kein großes Problem. | |
Anschließend verschickt man dann eine manipulierte Version der | |
"AusweisApp". Zwar wird der Download anschließend noch einmal mit Hilfe | |
einer elektronischen Signatur überprüft. Doch hier steckt eine weitere | |
Lücke. Mittels geschickter Manipulation kann man laut Schejbal Programmcode | |
auch außerhalb der "AusweisApp"-Verzeichnisse hinterlassen und damit an | |
anderer Stelle Schädlingscode ablegen. | |
Immerhin soll die Problematik in der "AusweisApp", wie Schejbal schreibt, | |
leicht zu beheben sein. Die Entwickler müssen nur ein Update nachreichen, | |
das die fehlerhafte Server-Überprüfung und die Möglichkeit ersetzt, in | |
fremde Verzeichnisse zu schreiben. Bleibt zu hoffen, dass genügend Nutzer | |
das Programm schnell genug aktualisieren, bevor Virenproduzenten auf die | |
Idee kommen, die Lücke auszunutzen. | |
Wer auf Nummer sicher gehen will, sollte nicht die automatische | |
Update-Funktion nutzen, sobald die Aktualisierung bereit steht, sondern | |
sich diese [2][direkt aus dem Web] besorgen. Moderne Webbrowser überprüfen, | |
ob der Server auch zur Signatur passt. | |
Für das Bundesinnenministerium (BMI) ist die "AusweisApp"-Panne nur die | |
jüngste Perso-Peinlichkeit. So hatte der Chaos Computer Club bereits eine | |
möglicherweise [3][schwerwiegende Sicherheitslücke] bei der Verwendung des | |
neuen Ausweises am PC aufgedeckt, an der das BMI wegen des Kaufs billiger | |
Kartenleser auch noch [4][teilweise mitschuldig] war. | |
10 Nov 2010 | |
## LINKS | |
[1] http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber… | |
[2] http://www.ausweisapp.bund.de/pweb/cms/index.jsp | |
[3] /1/politik/deutschland/artikel/1/zweifel-am-neuen-personalausweis/ | |
[4] /1/politik/deutschland/artikel/1/mieser-geschenkter-gaul/ | |
## AUTOREN | |
Ben Schwan | |
## TAGS | |
Schwerpunkt Überwachung | |
Schwerpunkt Überwachung | |
## ARTIKEL ZUM THEMA | |
Analyse des E-Perso und der AusweisApp: Sicherheitsprobleme mit zwei Ohren | |
Nachdem sie gehackt wurde, ist die AusweisApp für den neuen Personalausweis | |
nun wieder online - wenn auch nicht für jeden. Eine Analyse der Stärken und | |
Schwächen. | |
Pannen beim neuen Personalausweis: Ausweise mit leeren Chips | |
Auf den neuen elektronischen Personalausweis muss man Wochen warten und | |
kann die neuen Funktionen nicht nutzen. Die technischen Probleme sorgen für | |
Protest. | |
Sicherheitsmängel beim E-Perso: AusweisApp ist wieder offline | |
Die Software für den elektronischen Personalausweis muss nach der | |
Entdeckung einer Sicherheitslücke erneuert werden. Eine neue Version soll | |
bald bereitstehen. |