Die AusweisApp ist nicht sicher, wie Jan Schejbal vom Chaos Computer Club (CCC) jetzt in einem Experiment nachweisen konnte. Über Aktualisierung der Software lasse sich demnach beliebiger Code über die Software auf einen PC einschleusen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) werde das Leck prüfen.
Die eigentliche Schwachstelle liegt in der Update-Routine der AusweisApp. Für Aktualisierungen baue die Software eine Verbindung zum Server auf. Bei dieser verschlüsselten Verbindung frage die Software jedoch nicht nach, ob das Zertifikat auch tatsächlich von dem angewählten Server stammt.
“Der Client prüft nicht, ob das Zertifikat auch zum Servernamen passt! Somit braucht der Angreifer nicht ein gültiges Zertifikat für den Updateserver, sondern ein beliebiges gültiges Zertifikat”, warnt Schejbal in seinem Blog. Und diese Zertifikate seien sehr leicht zu bekommen.
Über einen manipulierten DNS-Server lassen sich die Update-Anfragen der Software auf einen beliebigen Rechner mit Verschlüsselungszertifikat umleiten. Und über diesen dritten Rechner können dann die Schadprogramme auf den Rechner mit AusweisApp geladen werden. Diese Programme werden zwar nicht in der AusweisApp durchgeführt, jedoch können sie auf die Festplatte des angegriffenen Rechners geladen werden. Die AusweisApp dient zur Authentifizierung und Datenübertragung etwa beim Abschluss von Versicherungen oder beim elektronischen Shoppen.
Der Fehler sei nicht besonders einfach zu finden gewesen, erklärte Schejbal, denn die Sicherheitsmaßnahmen sein durchaus sehr ausgeklügelt. “Aber es sind eben zwei dumme Fehler eingebaut.” Indes kündigt der CCC an, weitere Lecks zu veröffentlichen. Wie eine Sprecherin erklärte, seien potentielle Lecks bereits vor der Veröffentlichung bekannt gewesen. Offenbar wurde der Code mit großer Eile fertiggestellt.
„Aurora“ läuft beim Argonne National Laboratory des US-Energieministeriums und hat auf 87 Prozent des Systems…
Europäischer Supercomputer JEDI kommt auf den ersten Platz in der Green500-Liste der energieeffizientesten Supercomputer.
Data Awakening: Huawei präsentierte beim Innovative Data Infrastructure Forum 2024 in Berlin neue, auf KI…
Um ihre Verteidigung zu stärken, müssen Staaten und Unternehmen sicherstellen, dass KRITIS-Betreiber nicht nur die…
Reichen die Sicherheitsvorkehrungen der KRITIS-Betreiber bereits aus? Das BSI liefert dazu Kennzahlen auf einer neuen…
Laut Kaspersky ist Schadsoftware die zweithäufigste Bedrohung. Angriffe auf vernetzte Fahrzeuge folgen erst mit Abstand.
View Comments
mit nichten der CCC
Und wiedereinmal gehen die Lorbeeren an den CCC. Wobei der findige Hacker doch zur Piraten Partei Deutschland gehört und mit dem CCC nichts zu tun hat...
Der CCC geschränkt sich auf Panikmache mittels Trojaner-Tests... - das ist sooo billig!!!