iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 613 Artikel

Kein Nachbesserungsbedarf 

AusweisApp des Bundes: Die „echte App“ mit großem Update

Artikel auf Mastodon teilen.
35 Kommentare 35

Drei Monate nach ihrer überfälligen Umbenennung von AusweisApp2 hin zur schlichten AusweisApp, steht die offizielle iPhone-Anwendung des Bundes jetzt in Ausgabe 2.1 im App Store bereit und bringt mehrere funktionale Verbesserungen mit, die den Einsatz des elektronischen Personalausweises komfortabler machen sollen.

Version 2.1 ab sofort verfügbar

Neben einer Überarbeitung der grafischen Benutzeroberfläche besteht nun die Möglichkeit, Animationen innerhalb der App zu deaktivieren.

Eine wesentliche Änderung ist die Aufhebung des bisherigen Zeitlimits von fünf Minuten für die Eingabe des Passworts bei Nutzung der App in Verbindung mit dem elektronischen Personalausweis. Zudem wurde die Anzeige von Gerätenamen korrigiert, wenn die Funktion „Smartphone als Kartenleser“ verwendet wird, um sicherzustellen, dass geänderte Gerätenamen korrekt wiedergegeben werden.

Ausweisapp Screenshots

Auch Fehler beim Einsatz des „Smartphone als Kartenleser“ sowie beim Verbindungsaufbau mit passwortgeschützten Proxys wurden korrigiert.

Kein Nachbesserungsbedarf

In Sachen Sicherheit wurden allerdings keine Änderungen an der Anwendung vorgenommen, die Mitte letzten Monats wegen des Einsatzes sogenannter Deeplinks in der Kritik stand.

Der damalige Vorwurf an die Entwickler: Wer nicht die echte AusweisApp des Bundes sondern eine Anwendung installieren würde, die sich als diese ausgibt, würde Gefahr laufen, dass Dritte Zugriff auf die eigentlich geschützten Ausweisdaten erhalten.

Dem hat die Governikus GmbH, die die AusweisApp im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entwickelt, inzwischen widersprochen.

Die offizielle AusweisApp des Bundes selbst weist keine Schwachstellen auf und sei als Client nicht von dem Angriff betroffen gewesen. Anwendern wird lediglich empfohlen, die Download-Quellen zu überprüfen: „Wenn Sie sich unsicher sind, aus welcher Quelle Sie die AusweisApp bezogen haben, empfiehlt das BSI, die App zu deinstallieren und erneut aus den offiziellen Quellen unter folgendem Link herunterzuladen.“

Laden im App Store
‎AusweisApp Bund
‎AusweisApp Bund
Developer: Governikus GmbH & Co. KG
Price: Free
Laden

01. Mrz 2024 um 07:25 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    35 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Ich gebe zu, ich habe es nicht gegoogelt, aber hat die Firma nicht recht? Die deeplinks sind doch schlichte appverlinkungen, wie sollen die das fixen, wenn die „sicherheitslücke“ nur besteht wenn man deren App nicht nutzt?

    • Richtig. Es wurde auch ziemlich ausführlich in der letzten Folge des Podcasts Logbuch Netzpolitik erklärt. Linus Neumann war auch derjenige, der sich diesen Hack sehr genau angeschaut hat.
      Der Schwachpunkt sind die Deeplinks, die Apple zulässt.

    • Die Verlinkungsmethode ist sehr alt und veraltet.
      Auch wenn die App „nicht schuld“ ist, handelt es sich um einen realistischen Angriffsvektor.

      Bei einer app, bei der es sich um die eindeutige Identifizierung geht.
      Deshalb ist das kritisch.

      Darüber nachzudenken, ob man das in 2024 nicht andere/besser lösen kann, halte ich für sinnvoll

      Antworten moderated
      • Du nutzt zum Verschließen von etwas sehr wichtigem ein anderes Schloß, als empfohlen.
        Dieses wird geknackt und du verlangst vom Hersteller des empfohlenen Schlosses, er soll seins nachbessern, damit das nicht mehr passieren kann?
        Hmm…

      • @Heiko: Apple empfiehlt ja gerade, NICHT die Deeplinks zu verwenden.

      • @Hal9000: + 1 … es gehört zur professionellen Entwicklung dazu, die Dummheit der User mit einzukalkulieren.

  • Ich denke, wir sind nicht mehr weit davon entfernt, dass AppEntwickler auch ein „blue badge“ erhalten, die Ihre App-Echtheit und die Verbindung zu Entwickler App verifizieren können. Wäre zumindest auch eine neue Einnahmequelle und würde den AppStore NOCH SICHERER machen. ;-)
    Gerade wenn es mehrere AppStores gibt, wirst du doch nicht mehr darauf achten, hat die AusweisApp Bund die Governikus GmbH gemacht oder die BundAndLaender Ltd.

    Antworten moderated
    • Beschreibst du nicht einfach die Zertifizierung die Apple sich jährlich schon mit 100€ bezahlen lässt?

      • Nein. Wo hast du denn da den Single Source Of Truth in Verbindung zur Echtheit der App zum Echten Entwickler?

      • Gewisse Sicherheitsmerkmale für gewisse Anwendungen (Ausweisdokumente, Finanzen, etc.). Da lässt sich doch ein Zertifikat oder ein TXT-Eintrag personalisiert auf die Webseite des Anbieters ablegen, der sich dadurch verifiziert: Ja die App gehört zu unserem Haus.

      • Entweder haben wir gerade herausgefunden, dass Apples sicherheitsversprechen, dass nur eine zertifizierte App von den Entwicklern kommt, nicht stimmt oder wir haben eine unterschiedliche Auffassung darüber wie sicher ein blauer Punkt ist. Die Zertifizierung der App sorgt dafür, dass man erkennen kann von welchem Entwickler die App stammt und dass Apple quasi als Prüfstelle dafür herhält. Das ist ja auch die Begründung warum Apple sideloading nur mit zertifizierten Apps erlauben will.

      • Wir haben eine unterschiedliche Auffassung. Du befindest dich zu sehr im hier und jetzt und hast eine falsche Wahrnehmung über Apples „Prüfstelle“. Dort prüft kein Entwickler ob die App „Kommerzialbanking“ von der Commerzbank stammt und ob die Abgefragten Informationen (Zugangsdaten) den „richtigen“ Server kontaktieren. Aber darum geht es hier auch nicht.

      • Ah okay, dann hab ich’s jetzt verstanden. Dir geht’s nicht darum dass man es manuell pro App nachschauen kann wer der Entwickler ist (als Anwender, das geht aktuell schon umständlich) sondern darum, dass die Schnittstelle zwischen den Apps eine automatische Überprüfung durchführt? Dann sorry da hast du recht das sollte noch kommen

      • Cool – haben wir uns doch mit Händen und Füßen irgendwie verstanden. :-)

  • Die App sieht aus wie so ziemlich alles it technische made in Germany.
    Meine 3 jährige könnte n besseres Design raus rotzen..

  • Mir ist nicht klar für was man düse Ausweis App übehaupt nutzen kann – ausser seine Daten einzusehen. Gibt es da irgendwo Hinweise?

  • Auf Phishing reinzufallen ist immer doof, egal ob Banking oder Ausweis-App…

  • Anmeldung leider nicht möglich zur bundID. Wobei sich die Frage stellt warum man neben dem Personal noch eine bundID App braucht?

  • Es war, ist und bleibt einfach nur zum heulen. Peinlich, erbärmlich. Mehr muss man dazu nicht sagen. Schaut euch mal die Bürger-App in Polen an. mObywatel. Von Ausweis über Tickets bis zu den Fahrscheinen, alles erdenkliche in einer App ansprechend untergebracht.

    Antworten moderated
  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38613 Artikel in den vergangenen 6284 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven