Die AusweisApp ist nicht sicher, wie Jan Schejbal vom Chaos Computer Club (CCC) jetzt in einem Experiment nachweisen konnte. Über Aktualisierung der Software lasse sich demnach beliebiger Code über die Software auf einen PC einschleusen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) werde das Leck prüfen.
Die eigentliche Schwachstelle liegt in der Update-Routine der AusweisApp. Für Aktualisierungen baue die Software eine Verbindung zum Server auf. Bei dieser verschlüsselten Verbindung frage die Software jedoch nicht nach, ob das Zertifikat auch tatsächlich von dem angewählten Server stammt.
“Der Client prüft nicht, ob das Zertifikat auch zum Servernamen passt! Somit braucht der Angreifer nicht ein gültiges Zertifikat für den Updateserver, sondern ein beliebiges gültiges Zertifikat”, warnt Schejbal in seinem Blog. Und diese Zertifikate seien sehr leicht zu bekommen.
Über einen manipulierten DNS-Server lassen sich die Update-Anfragen der Software auf einen beliebigen Rechner mit Verschlüsselungszertifikat umleiten. Und über diesen dritten Rechner können dann die Schadprogramme auf den Rechner mit AusweisApp geladen werden. Diese Programme werden zwar nicht in der AusweisApp durchgeführt, jedoch können sie auf die Festplatte des angegriffenen Rechners geladen werden. Die AusweisApp dient zur Authentifizierung und Datenübertragung etwa beim Abschluss von Versicherungen oder beim elektronischen Shoppen.
Der Fehler sei nicht besonders einfach zu finden gewesen, erklärte Schejbal, denn die Sicherheitsmaßnahmen sein durchaus sehr ausgeklügelt. “Aber es sind eben zwei dumme Fehler eingebaut.” Indes kündigt der CCC an, weitere Lecks zu veröffentlichen. Wie eine Sprecherin erklärte, seien potentielle Lecks bereits vor der Veröffentlichung bekannt gewesen. Offenbar wurde der Code mit großer Eile fertiggestellt.
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
View Comments
mit nichten der CCC
Und wiedereinmal gehen die Lorbeeren an den CCC. Wobei der findige Hacker doch zur Piraten Partei Deutschland gehört und mit dem CCC nichts zu tun hat...
Der CCC geschränkt sich auf Panikmache mittels Trojaner-Tests... - das ist sooo billig!!!