Die AusweisApp ist nicht sicher, wie Jan Schejbal vom Chaos Computer Club (CCC) jetzt in einem Experiment nachweisen konnte. Über Aktualisierung der Software lasse sich demnach beliebiger Code über die Software auf einen PC einschleusen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) werde das Leck prüfen.
Die eigentliche Schwachstelle liegt in der Update-Routine der AusweisApp. Für Aktualisierungen baue die Software eine Verbindung zum Server auf. Bei dieser verschlüsselten Verbindung frage die Software jedoch nicht nach, ob das Zertifikat auch tatsächlich von dem angewählten Server stammt.
“Der Client prüft nicht, ob das Zertifikat auch zum Servernamen passt! Somit braucht der Angreifer nicht ein gültiges Zertifikat für den Updateserver, sondern ein beliebiges gültiges Zertifikat”, warnt Schejbal in seinem Blog. Und diese Zertifikate seien sehr leicht zu bekommen.
Über einen manipulierten DNS-Server lassen sich die Update-Anfragen der Software auf einen beliebigen Rechner mit Verschlüsselungszertifikat umleiten. Und über diesen dritten Rechner können dann die Schadprogramme auf den Rechner mit AusweisApp geladen werden. Diese Programme werden zwar nicht in der AusweisApp durchgeführt, jedoch können sie auf die Festplatte des angegriffenen Rechners geladen werden. Die AusweisApp dient zur Authentifizierung und Datenübertragung etwa beim Abschluss von Versicherungen oder beim elektronischen Shoppen.
Der Fehler sei nicht besonders einfach zu finden gewesen, erklärte Schejbal, denn die Sicherheitsmaßnahmen sein durchaus sehr ausgeklügelt. “Aber es sind eben zwei dumme Fehler eingebaut.” Indes kündigt der CCC an, weitere Lecks zu veröffentlichen. Wie eine Sprecherin erklärte, seien potentielle Lecks bereits vor der Veröffentlichung bekannt gewesen. Offenbar wurde der Code mit großer Eile fertiggestellt.
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.
View Comments
mit nichten der CCC
Und wiedereinmal gehen die Lorbeeren an den CCC. Wobei der findige Hacker doch zur Piraten Partei Deutschland gehört und mit dem CCC nichts zu tun hat...
Der CCC geschränkt sich auf Panikmache mittels Trojaner-Tests... - das ist sooo billig!!!