taz.de -- "AusweisApp" gehackt: Die Perso-Software hat ein Leck

Wer den neuen Personalausweis im Internet nutzt, braucht die sogenannte "AusweisApp" um sich auszuweisen und Dokumente zu signieren. Leider ist sie nicht ganz dicht.
Bild: Schön bunt, aber auch sicher? So wirbt das Bundesministerium für E-Perso und AusweisApp.

Ärger mit der "AusweisApp": Das Programm, mit dem man den neuen Personalausweis im Internet nutzen kann, um Behördenpost zu signieren oder sich gegenüber einem Online-Shop elektronisch auszuweisen, enthält eine Sicherheitslücke.

Wie der Internet-Aktivist Jan Schejbal in seinem [1][Blog] berichtet, ist der Perso selbst nicht betroffen, doch lässt sich die "AusweisApp" dazu verwenden, Datenschädlinge auf den Rechner zu bringen. Da sich die vom Bundesinnenministerium angebotene Anwendung, die früher "Bürgerclient" hieß, wohl rasant verbreiten wird, könnte sie schnell zum Angriffsziel werden.

Die Lücke steckt laut Schejbal in der automatischen Updatefunktion der "AusweisApp". Sie lädt zwar eine eventuell verfügbare Aktualisierung mittels der Verschlüsselungstechnik SSL herunter, überprüft dabei aber nicht, ob das übermittelte Sicherheitszertifikat auch zum Namen des absendenden Servers passt. Ausnutzen lässt sich das beispielsweise in einem offenen Netz, etwa in einem Internet-Café. Dort wäre es möglich, den offiziellen "AusweisApp"-Server zu imitieren, indem man die Namensauflösung (DNS) manipuliert - für halbwegs versierte Angreifer kein großes Problem.

Anschließend verschickt man dann eine manipulierte Version der "AusweisApp". Zwar wird der Download anschließend noch einmal mit Hilfe einer elektronischen Signatur überprüft. Doch hier steckt eine weitere Lücke. Mittels geschickter Manipulation kann man laut Schejbal Programmcode auch außerhalb der "AusweisApp"-Verzeichnisse hinterlassen und damit an anderer Stelle Schädlingscode ablegen.

Immerhin soll die Problematik in der "AusweisApp", wie Schejbal schreibt, leicht zu beheben sein. Die Entwickler müssen nur ein Update nachreichen, das die fehlerhafte Server-Überprüfung und die Möglichkeit ersetzt, in fremde Verzeichnisse zu schreiben. Bleibt zu hoffen, dass genügend Nutzer das Programm schnell genug aktualisieren, bevor Virenproduzenten auf die Idee kommen, die Lücke auszunutzen.

Wer auf Nummer sicher gehen will, sollte nicht die automatische Update-Funktion nutzen, sobald die Aktualisierung bereit steht, sondern sich diese [2][direkt aus dem Web] besorgen. Moderne Webbrowser überprüfen, ob der Server auch zur Signatur passt.

Für das Bundesinnenministerium (BMI) ist die "AusweisApp"-Panne nur die jüngste Perso-Peinlichkeit. So hatte der Chaos Computer Club bereits eine möglicherweise [3][schwerwiegende Sicherheitslücke] bei der Verwendung des neuen Ausweises am PC aufgedeckt, an der das BMI wegen des Kaufs billiger Kartenleser auch noch [4][teilweise mitschuldig] war.

10 Nov 2010

LINKS

[1] http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/
[2] http://www.ausweisapp.bund.de/pweb/cms/index.jsp
[3] /1/politik/deutschland/artikel/1/zweifel-am-neuen-personalausweis/
[4] /1/politik/deutschland/artikel/1/mieser-geschenkter-gaul/

AUTOREN

Schwan

TAGS

Schwerpunkt Überwachung
Schwerpunkt Überwachung

ARTIKEL ZUM THEMA

Analyse des E-Perso und der AusweisApp: Sicherheitsprobleme mit zwei Ohren

Nachdem sie gehackt wurde, ist die AusweisApp für den neuen Personalausweis nun wieder online - wenn auch nicht für jeden. Eine Analyse der Stärken und Schwächen.

Pannen beim neuen Personalausweis: Ausweise mit leeren Chips

Auf den neuen elektronischen Personalausweis muss man Wochen warten und kann die neuen Funktionen nicht nutzen. Die technischen Probleme sorgen für Protest.

Sicherheitsmängel beim E-Perso: AusweisApp ist wieder offline

Die Software für den elektronischen Personalausweis muss nach der Entdeckung einer Sicherheitslücke erneuert werden. Eine neue Version soll bald bereitstehen.