Deeplink kann entführt werden
Online-Ausweis kompromittiert: Hacker umgehen eID-Schutz
Hacker haben in der eID-Infrastruktur des so genannten Online-Ausweises eine kritische Sicherheitslücke entdeckt, die es Angreifern ermöglicht, sensible Daten zu kompromittieren.
Dies haben Sicherheitsforscher, die unter dem Pseudonym CtrlAlt agieren, jetzt mit einer Veröffentlichung unter Beweis gestellt, die einen Man-in-the-Middle-Angriff auf die eID-Funktion des deutschen Personalausweises skizziert.
Dabei wird die Kommunikation zwischen dem Endgerät und der eID-Infrastruktur durch eine entsprechend vorbereitete Applikation überwacht, die anschließend über den Zugang zu dem soeben autorisierten Dienst verfügt.
Deeplink kann entführt werden
Der unter Laborbedingungen demonstrierte Angriff ist nur möglich, da sich der Online-Personalausweis beim Starten der AusweisApp auf eine technische Lösung verlässt, von der sowohl Google als auch Apple grundsätzlich abraten. Wird eine persönliche Identifikation über den Online-Ausweis angefordert – etwa beim Abruf des Punktstandes in Flensburg – öffnen entsprechende Dienste-Anbieter die AusweisApp mit einem so genannten Deeplink.
Dieser Deeplink beginnt mit den Zeichen (“eid://”) und öffnet üblicherweise die offizielle AusweisApp von Governikus. Ist diese jedoch nicht installiert, können andere Anwendungen entsprechende Links für sich beanspruchen und ihrerseits starten, wenn Anwender den Querverweisen folgen.
Dies hat im Fall des Online-Ausweises signifikante Folgen: Ist eine Anwendung installiert, die sich als AusweisApp ausgibt, kann diese die Autorisierungssitzung mitlesen und verfügt anschließend über wichtige Teile der eID-Identität des angegriffenen Nutzers.
BSI reagiert schulterzuckend
Die Hacker haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Lücke informiert, dieses sieht die Verantwortung für die Sicherheit der Endgeräte jedoch primär bei den Nutzern.
In dem Paper (PDF-Download), in dem die Sicherheitsforscher den Angriff detailliert beschreiben, geben diese allerdings an, dass die Schwachstelle selbst dann ausgenutzt werden kann, wenn alle Sicherheitshinweise des BSI befolgt und die jeweils neuen Betriebssysteme auf den Endgeräten ausgeführt werden.
Zum Nachlesen:
- Mit AusweisApp: Digitale Rentenübersicht jetzt online abrufbar
- Punkte in Flensburg? Für Online-Abfrage reicht AusweisApp
Und so fängt es an ….
Was denn?
Das dann
Dass …
…und so endet es auch
Genau, das ist bestimmt von dieser Ampel mit Absicht gemacht….
Ich kann diesen dummen Schwachsinn einfach nicht mehr hören!!! Das steckt weder die Regierung noch eine Verschwörung dahinter, sondern unsere mittlerweile Unfähigkeit, was Digitalisierung angeht. Datenschutz und Fachkräftemangel, gepaart mit zu alten Menschen im BSI und anderen Ministerien, das sind die Probleme.
Markus, dann musst du diese Kommentarsektion meiden. Leider ist das hier dieses Niveau.
Die Ampel nicht, aber die digitale Unfähigkeit in D. Und nein, ich kann es auch nicht besser.
Das BSI sieht seine Aufgabe und Verantwortung nur darin, Fehler und Schwachstellen bei anderen aufzuzeigen. Dass jemand anderes das BSI hier in die Verantwortung nehmen möchte, kann es mal gar nicht akzeptieren. Verantwortung für eine Schwachstelle übernehmen und diese auch noch abstellen – wo kämen wir denn da hin… – das ist doch das BSI.
Frage mich eher, wie die pseudo Ausweisapp auf‘s Handy kommen soll und wer da überhaupt versucht, seinen Ausweis zu scannen (dem link dorthin folgt), wenn er die App ja nicht installiert wähnt.
Hmm.. Herr Seehofer ist in welcher Partei?
https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2020/10/10-jahre-personalausweis.html
Hallo Herr Lanz,
wie nett von Ihnen, dass Sie uns Ihre Textbausteine auch hier im gebührenfreien Internet zu Verfügung stellen.
@AJM:
Was soll denn diese sinnbefreite Bemerkung ?
„Sicherheit der Endgeräte bei den Nutzern“. Das ist so unfassbar deutsch, dass ich weinen will.
+1
Vor allem da die EU ja auch zwingend 3. Anbieter Stores durchsetzten muss. Freue mich darauf wenn da dann zu hauf AusweisApps zur Verfügung stehen.
Wieso sind dafür denn jetzt Drittanbieter Stores verantwortlich? Eine so sicherheitskritsche App so zu designen das Application URLs gekapert werden können ist fahrlässig und einzig und allein die Verantwortung des Entwicklers dieser Funktion.
Ist mit der „TI – Telematikinfrastruktur“ auch so: Der Arzt ist schuld wenn der Arztausweis missbraucht wird…. und stecken lassen soll ich im Kartenleser aber auch nicht…. Dafür dann lieber 250mal am Tag die Pin eingeben…
PS: Fax funktioniert wenigstens ;)
Da muss mMn das BSI zwar anders reagieren und das entsprechend ernst nehmen.
ABER:
Für mich ist eher unfassbar deutsch, dass Anwender allen ernstes meinen, komplexe Systeme, Geräte und Daten lassen sich mit der vergleichsweise einfachen Ausflucht „Ich bin ja nur User“ ohne eigene Awareness und Verantwortung nutzen.
Da weine ICH dann bittere Tränen und empfehle diesen Menschen dann lieber Papier und Stift :D
Auf nach Österreich.
Na besser nicht wenn die FPÖ gewinnt!
Wieso denn das? Deportieren sie die ausländischen Deutschen wieder in ihr Heimatland oder gar nach Afrika?
Na logisch. Was denken sie denn was die FPÖ ist.
„BSI reagiert schulterzuckend“…..IT ist halt immer noch Neuland :-)
Die wollen jedenfalls nicht. Ob sie denn könnten, wenn sie wollten, bleibt offen.
Das sind die Edge Cases mit denen Panik und warum wir bei der Digitalisierung immer weiter zurück fallen.
gemacht wird*
Die deutschen und die 100% Lösung. Die gibt es bei Software einfach nicht.
an der These ist durchaus was dran
Absolut. Fakt ist doch: wer den pass mit dem Handy nutzt wird auch die App haben und entsprechend kein Problem damit haben. Mehr Wind um nichts…
Richtig!
Das sind m.e. keine Edge Cases, wenn es um _die_ Authentifizierung schlechthin geht. Wir reden ja hier nicht von einem Webshop oder Streaming Dienst.
Es ist richtig, dass es keine 100% Sicherheit gibt, aber deshalb arbeitet man in der Regel entlang einer Risikoanalyse und merzt die Schwachstellen aus. Hier wurde ganz deutlich eine Schwachstelle gezeigt und die ist real, weil der Endnutzer i.d.R. das dümmste / schwächste Glied in der Kette ist.
Wer sowas auf die Beine Stellt, muss auch Vulnerability Management betreiben. IEC 62443 und NIST SP800-53 sind da ziemlich eindeutig und die Empfehlungen des BSI ja auch. Warum man hier nur mit Schulterzucken reagiert, ist mir unbegreiflich. Vor allem wenn man gleichzeitig Hersteller wie Apple dazu nötigt fremde App Store zuzulassen, passt das nicht zusammen.
Wäre eine Push Notification denn so viel schwieriger zu implementieren? Die käme zumindest nie bei einer anderen App an.
Zu den Push-Notifications hat der CCC auch schon einiges kritisiert.
Aber wer nutzt eine e ID Funktion, wenn er die AusweisApp nicht hat? Warum hätte man den Gedanken dann überhaupt so einen Weg zu nutzen und zieht das dann auch noch durch, und wie kommt die fremde App da drauf?
Jemand der sich ausversehen die Auweisapp geladen hat…
Aber dann die richtige oder die Fälschung? Schon echt ein schwieriges Scenario
Lies nochmal was er geschrieben hat. Dann merkst du, dass auch du schon reingefallen wärst
+5
Gerade erst vor ein paar Tagen war hier im phone-ticket der Fall bekannt geworden, dass Apples AppStore-Kontrolle eine App durchgewunken hatte, die sich als Passwortmanager LastPass ausgegeben hat.
Und genau sowas kann eben auch bei eine gefälschten AusweisApp passieren. Und schon ist sie eben auf dem Endgerät gelandet.
Im Moment müsste man den deeplink für seine „scam“ App registrieren und bei der App Store Prüfung damit durchkommen. Das dürfte allerdings nicht so schwer sein.
Sicherer wäre die vorübergehende Abschaltung der Deeplink Funktion für den Ausweiß.
Immer diese Gejammer!
Wirklich unglaublich!
Deutschland sollte in Jammerland umbenannt werden.
JA… natürlich ist es nicht erfreulich, daß die Sicherheit kompromittiert ist. Und es ist gut, daß die Lücke aufgedeckt wurde und es somit möglich ist etwas dagegen zu tun.
Schlimmer finde ich, daß von den meisten Kommentatoren ausschließlich abwertende Bemerkungen kommen, obschon hier in Deutschland an der Digitalisierung gearbeitet wird. Das scheint in anderen Ländern augenscheinlich besser und schneller zu funktionieren, aber ob dies tatsächlich auch so ist kann ich nicht sagen.
Mit Sicherheit treten auch dort Probleme auf. Vielleicht hilft auch eine etwas andere Fehlerkultur! Menschen machen Fehler! Und es ist nichts Verwerfliches daran. Im Gegenteil! Ohne Fehler können wir uns nicht weiterentwickeln. Anstelle also den Schuldigen zu suchen und diesen dann mit Vorwürfen zu überschütten, könnte ja auch mal ein konstruktiver Vorschlag kommen.
Aber offensichtlich ist es dann einfacher eine hämische, abfällige Bemerkung zu machen. Dabei sollte doch allen bewusst sein, daß wir alle diese Regierung, die auch die Entscheidung getroffen hat die eID zu entwickeln, schlußendlich gewählt haben!
Und Kommentare bezüglich wer Wen oder Wen nicht gewählt hat können wir uns getrost sparen. Als demokratische Gesellschaft tragen wir alle die Verantwortung und müssen zumindest akzeptieren, daß nicht alles so läuft wie wir uns das so gewünscht haben.
Ich wünsche Euch allen ein schönes Wochenende!
Gut gesprochen. Wenn ich das alles richtig interpretiert habe, muss man dazu eine falsche AusweisApp herunterladen. Derzeit zumindest ein sehr theoretisches Szenario.
Man kann es daher als nützlichen Hinweis nehmen ohne gleich in Weltuntergangsstimmung zu verfallen. Das Verfahren ist immer noch x-mal sicherer als das vielfach praktizierte Videoident.
Mit was meinst du „wir haben diese Regierung gewählt“. Es haben nicht alle diese Regierung gewählt.
You know, we call it democracy.
svc, danke für deinen Kommentar. Endlich kommen hier mehr und mehr Leute zusammen, denen dieses Gejammere und „erstmal-doof-finden“auf den Sack gehen. Und dies auch äussern.
Ich habe dem Eindruck, dass hier viele denken, dass sie alles besser wissen als alle anderen. Weil hier anonym und ohne konsequenzen.
Einer der wenigen Kommentare, den ich vorbehaltlos unterschreibe. Unsere Debattenkultur wäre reich, gäbe es mehr davon. Sachlich, Hintergründe mit einbeziehend und ohne Häme
Ich glaube, dass viel Kritik sich nicht auf die Tatsache bezieht, dass ein Fehler gemacht wurde, sondern wie damit umgegangen wird. „Für die Sicherheit sind die User verantwortlich“ endet erfahrungsgemäß im Desaster. Siehe Passwörter, Phishing Mails, etc… Sehr viele User haben halt leider wenig IT Kentniss.
Der Hack ist sowas von langweilig, kein Wunder dass die ignoriert werden.
Wie kommen die dann an den dazugehörigen nPA? Ohne den sind die Anwenderdaten nutzlos.
Da gefällt mir mein man-in-the-middle Angriff besser: einfach den PIN-Brief meiner Frau öffnen ;-)
Haha made my day. :-)
Sehe ich auch so. Da wird wirklich viel Wind um ein völlig unrealistisches Szenario gemacht….und Clickbaiter und Überschriften-Leser hyperventilieren gleichermaßen….schon krass, wie unreflektiert das heute läuft. @iFun: Bei Euch genauso? Wo ist die redaktionelle Leistung im Sinne einer eigenen Einschätzung?
Soweit ich mich erinnere, sollten doch noch nicht einmal Fort Knox sicherer sein, als Daten auf und in deutschen Ausweisen und Pässen?
Was passiert, wenn zwei Apps die eid://-Deeplinks für sich beanspruchen?
Warum werden hier schon wieder Kommentare nicht veröffentlich, die weder beleidigend noch diskriminierend etc. sind?
So langsam bekomme ich das Gefühl, dass die Betreiber hier sehr gerne „blau“ sind….
Nennt man Zensur
Markus, weil manche Kommentare einfach „dumm“ sind. Und ich finde es richtig und gut, wenn diese (und einige andere) einfach gelöscht werden.
Nennst DU(!) Zensur
(… andere kennen die Bedeutung des Wortes)
Zitat von dir: „(…) gepaart mit zu alten Menschen im BSI und anderen Ministerien, das sind die Problem“
Noch irgendwelche Fragen zum Thema diskreminierende & beleidigende Äußerungen?
Ich weiß worauf du hinaus willst, aber es ist keine Diskriminierung oder Beleidigung wenn es ein Fakt ist und der Wahrheit entspricht. Ich arbeite in der IT auf Bundesebene und der häufigste Grund etwas gegen die Wand zu fahren sind alteingesessene Männer, die dass schon immer so gemacht haben und bis zu ihrer Pensionierung auch nicht ändern. Somit werden gerade ganz viele Konzepte erstellt und darauf gewartet, dass die aktuell verantwortlichen Personen endlich ihren Dienstposten freiräumen, um endlich mal mit einer echten Digitalisierung zu beginnen!!
BMI, BMF und BMG reagieren quasi nur darauf was das andere Ministerium bestimmt hat, um dann das Gegenteil davon zu machen, nur um einfach scheinbar dagegen zu sein ohne Sinn und Verstand. Trotz Hinweis darauf, dass mit ihrer Entscheidung gegen geltendes Recht verstoßen (zum Beispiel gegen die Bundeshaushaltsordnung) aber trotzdem wird diese Willkür irgendwie gerechtfertigt und wenn man es in den Sand gesetzt hat, auf PowerPoint Folien als Erfolgsprojekt in die Medien getragen.
Es werden einfach unfassbar viel Steuergelder verschwendet, aufgrund von Sturheit und Beratungsresistenz, während die eigentlichen Vorteile einer Digitalisierung durch kurzfristige Einsparung niemals zum Vorschein kommen.
Was bringt ein digital zentralisierter Ablageort wie die elektronische Patientenakte, wenn Ärzte, Krankenhäuser, Apotheken nicht darauf zugreifen können, weil sie nunmal keine Bundesbehörden sind und somit nicht im Bundesnetz agieren und den Server überhaupt nicht erreichen können? Das ist einfach nur dumm und kurzsichtig. Egal ob das als Diskrimierung oder Beleidigung missverstanden oder fehlinterpretiert wird…
Seltsam. Sonst heißt es immer, ifun sei linksgrün…
Was denn nun?
sehe jetzt auch nicht das Problem. Ist es auch eine Sicherheitslücke wenn ich meinen Ausweis und PIN einer anderen Person gebe, dass die den dann nutzen kann? Irgendwo muss man halt auch selbst drauf aufpassen. Die Technik selbst ist ja solide bei der eID (große Ausnahme inmitten von „Bayern Blockchain AI“-Projekten), aber Technik ist auch nicht die Lösung für alles. Wenn ich mein Ausweis an irgendein Gerät halte und dort meine PIN eingebe, ja dann kann halt alles mögliche passieren. ob nun deeplink hin oder her, entweder hat man ein vertrauenswürdiges Endgerät da oder nicht. Im Taifun ist es auch egal, ob mein Regenschirm aus Plaste oder Blech ist, das Ding geht so oder so kaputt. Hilft nur, Taifune zu meiden.
Ein sehr schöner Vergleich mit dem Taifun, und ich stimme grundsätzlich zu.
Das Szenario könnte aber wie folgt sein: Man hat den ePerso und den PIN-Brief erhalten und begibt sich nun in den AppStore, um die AusweisApp zu laden. Dort schafft es eine gefälschte AusweisApp mit sehr ähnlichem Namen durch Apples Eingangskontrolle und zahlt auch noch etwas Werbegeld, um ganz oben in den Suchergebnissen aufzutauchen (so ähnlich geschehen vor Kurzem mit der gefälschten LastPass-App, die bei Apple ebenfalls nicht aufgefallen ist).
Unbedarfte User, die diesen Betrug nicht erkennen und sich mit dem ePerso irgendwo authentifizieren wollen, halten ihren Perso an das vertrauenswürdige Gerät, die gefälschte App fängt diese Transaktion nach PIN-Eingabe (die ja auch im besten Vertrauen erfolgt) ab und hat dann eben Zugang zum angesurften Dienst.
Also: Technik-affine Leute können diesen Taifun sicher meiden und sind auch bei App-Downloads mit der nötigen Portion Vorsicht unterwegs. Aber ich fürchte, so gut im Vermeiden von Taifunen sind halt nicht alle…
Und sowas kommt dann da bei raus.. warum bin ich nicht überrascht?
Find ich gut. Das naive im Menschen nutzen!
1. Würde man in die App mit einem Universal Link (also per Bundle Identifier linken) wäre dieses Angriffsszeneario gänzlich unmöglich. https://developer.apple.com/ios/universal-links/
2. Solche Apps würde Apple ohnehin nicht im App Store erlauben. Aber dank EU-Sideloading geht’s ja bald