Hacker haben in der eID-Infrastruktur des so genannten Online-Ausweises eine kritische Sicherheitslücke entdeckt, die es Angreifern ermöglicht, sensible Daten zu kompromittieren.

Dies haben Sicherheitsforscher, die unter dem Pseudonym CtrlAlt agieren, jetzt mit einer Veröffentlichung unter Beweis gestellt, die einen Man-in-the-Middle-Angriff auf die eID-Funktion des deutschen Personalausweises skizziert.

Dabei wird die Kommunikation zwischen dem Endgerät und der eID-Infrastruktur durch eine entsprechend vorbereitete Applikation überwacht, die anschließend über den Zugang zu dem soeben autorisierten Dienst verfügt.

Deeplink kann entführt werden

Der unter Laborbedingungen demonstrierte Angriff ist nur möglich, da sich der Online-Personalausweis beim Starten der AusweisApp auf eine technische Lösung verlässt, von der sowohl Google als auch Apple grundsätzlich abraten. Wird eine persönliche Identifikation über den Online-Ausweis angefordert – etwa beim Abruf des Punktstandes in Flensburg – öffnen entsprechende Dienste-Anbieter die AusweisApp mit einem so genannten Deeplink.

Dieser Deeplink beginnt mit den Zeichen (“eid://”) und öffnet üblicherweise die offizielle AusweisApp von Governikus. Ist diese jedoch nicht installiert, können andere Anwendungen entsprechende Links für sich beanspruchen und ihrerseits starten, wenn Anwender den Querverweisen folgen.

Dies hat im Fall des Online-Ausweises signifikante Folgen: Ist eine Anwendung installiert, die sich als AusweisApp ausgibt, kann diese die Autorisierungssitzung mitlesen und verfügt anschließend über wichtige Teile der eID-Identität des angegriffenen Nutzers.

BSI reagiert schulterzuckend

Die Hacker haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Lücke informiert, dieses sieht die Verantwortung für die Sicherheit der Endgeräte jedoch primär bei den Nutzern.

In dem Paper (PDF-Download), in dem die Sicherheitsforscher den Angriff detailliert beschreiben, geben diese allerdings an, dass die Schwachstelle selbst dann ausgenutzt werden kann, wenn alle Sicherheitshinweise des BSI befolgt und die jeweils neuen Betriebssysteme auf den Endgeräten ausgeführt werden.

Zum Nachlesen:

Mit AusweisApp: Digitale Rentenübersicht jetzt online abrufbar
Punkte in Flensburg? Für Online-Abfrage reicht AusweisApp

Technologie

Leave a Reply

Your email address will not be published. Required fields are marked *

AusweisApp: Hacker deckt kritische Schwachstelle auf, mit der sich Identitäten übernehmen lassen
SCHUFA muss Gratis-Auskunft erteilen: Anzeige wegen „rechtswidriger Kundenmanipulation“