{"id":230122,"date":"2024-02-16T14:27:05","date_gmt":"2024-02-16T13:27:05","guid":{"rendered":"https:\/\/www.iphone-ticker.de\/?p=230122"},"modified":"2024-02-16T14:31:19","modified_gmt":"2024-02-16T13:31:19","slug":"online-ausweis-kompromittiert-hacker-umgehen-eid-schutz","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/online-ausweis-kompromittiert-hacker-umgehen-eid-schutz-230122\/","title":{"rendered":"Online-Ausweis kompromittiert: Hacker umgehen eID-Schutz"},"content":{"rendered":"

Hacker haben in der eID-Infrastruktur des so genannten Online-Ausweises eine kritische Sicherheitsl\u00fccke entdeckt, die es Angreifern erm\u00f6glicht, sensible Daten zu kompromittieren.<\/p>\n

\"Ausweisapp<\/a><\/p>\n

Dies haben Sicherheitsforscher, die unter dem Pseudonym CtrlAlt agieren, jetzt mit einer Ver\u00f6ffentlichung unter Beweis gestellt<\/a>, die einen Man-in-the-Middle-Angriff auf die eID-Funktion des deutschen Personalausweises skizziert.<\/p>\n

Dabei wird die Kommunikation zwischen dem Endger\u00e4t und der eID-Infrastruktur durch eine entsprechend vorbereitete Applikation \u00fcberwacht, die anschlie\u00dfend \u00fcber den Zugang zu dem soeben autorisierten Dienst verf\u00fcgt.<\/p>\n

Deeplink kann entf\u00fchrt werden<\/h2>\n

Der unter Laborbedingungen demonstrierte Angriff ist nur m\u00f6glich, da sich der Online-Personalausweis beim Starten der AusweisApp<\/a> auf eine technische L\u00f6sung verl\u00e4sst, von der sowohl Google als auch Apple grunds\u00e4tzlich abraten. Wird eine pers\u00f6nliche Identifikation \u00fcber den Online-Ausweis angefordert – etwa beim Abruf des Punktstandes in Flensburg<\/a> – \u00f6ffnen entsprechende Dienste-Anbieter die AusweisApp mit einem so genannten Deeplink.<\/p>\n

\"Ausweis<\/a><\/p>\n

Dieser Deeplink beginnt mit den Zeichen (\u201ceid:\/\/\u201d) und \u00f6ffnet \u00fcblicherweise die offizielle AusweisApp von Governikus. Ist diese jedoch nicht installiert, k\u00f6nnen andere Anwendungen entsprechende Links f\u00fcr sich beanspruchen und ihrerseits starten, wenn Anwender den Querverweisen folgen.<\/p>\n

Dies hat im Fall des Online-Ausweises signifikante Folgen: Ist eine Anwendung installiert, die sich als AusweisApp ausgibt, kann diese die Autorisierungssitzung mitlesen und verf\u00fcgt anschlie\u00dfend \u00fcber wichtige Teile der eID-Identit\u00e4t des angegriffenen Nutzers.<\/p>\n

\"Ios<\/a><\/p>\n

BSI reagiert schulterzuckend<\/h2>\n

Die Hacker haben das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) \u00fcber die L\u00fccke informiert, dieses sieht die Verantwortung f\u00fcr die Sicherheit der Endger\u00e4te jedoch prim\u00e4r bei den Nutzern.<\/p>\n

In dem Paper (PDF-Download<\/a>), in dem die Sicherheitsforscher den Angriff detailliert beschreiben, geben diese allerdings an, dass die Schwachstelle selbst dann ausgenutzt werden kann, wenn alle Sicherheitshinweise des BSI befolgt und die jeweils neuen Betriebssysteme auf den Endger\u00e4ten ausgef\u00fchrt werden.<\/p>\n

Zum Nachlesen:<\/b><\/p>\n