"gezielt staatliche Behörden betrogen"
Verimi ID-Wallet: Perso-App lässt einfache Fälschungen durch
Über die iPhone-Applikation Verimi ID-Wallet haben wir auf ifun.de schon mehrfach berichtet. Das Gemeinschaftsprojekt vieler prominenter Konzerne aus der Privatwirtschaft arbeitet an der Digitalisierung von Alltagsdokumenten und ist seit einigen Monaten damit beschäftigt, die Standards für den elektronischen Personalausweis und den elektronischen Führerschein zu erarbeiten.
Sowohl Perso als auch Führerschein lassen sich in der kostenlosen App Verimi ID-Wallet bereits speichern, als nächstes wollen die Beteiligten Unternehmen, zu denen neben der Allianz, Axel Springer und der Bundesdruckerei auch die Deutsche Bahn, die Deutsche Bank, die Deutsche Lufthansa, die Deutsche Telekom, die Mercedes-Benz Group, Samsung und Volkswagen zählen, die Voraussetzungen schaffen, um die Gesundheitskarten der Krankenkassen in ihrer App abzulegen.
- Führerschein auf dem iPhone: Verimi-App ist jetzt live
Von drei Seiten unter Beschuss
Doch ist dies eine gute Idee? Mit Blick auf die Baustellen mit denen sich Verimi gerade konfrontiert sieht, muss diese Frage derzeit wohl verneint werden.
Identverfahren umgangen
Zum einen lässt sich das von der Anwendung eingesetzte Identverfahren schon mit einfachen Bildmanipulationen austricksen. Dies hat der Software-Sicherheitsforscher Martin Tschirsich auf dem Kurznachrichten-Portal Twitter dokumentiert.
In der Verimi ID-Wallet „erfassen die Nutzer ihren Führerschein über das Foto-Ident-Verfahren“ von @Veriff. Ich fotografiere Vorder- und Rückseite meines Führerscheins, ändere digital den Namen und drucke die Bilder am Foto-Kiosk der nächstgelegenen Drogerie überlebensgroß aus… pic.twitter.com/y17uxq7I6C
— Martin Tschirsich (@mtschirs) August 4, 2022
Der im Chaos Computer Club aktive Hacker hat Namen auf seinen Personaldokumenten geändert, das Identverfahren mit Großdruck-Fotos überlistet und besitzt jetzt nicht nur digitale Wunsch-Führerschein mit falschem Namen, sondern auch eine digitale Schweizer Staatsbürgerschaft.
…dann fotografiere ich die manipulierten Bilder mit der App und nehme ein Selfie auf. Der „KI-gestützte Prozess“ bestätigt die Echtheit der Bilder in Sekundenschnelle. Gesamtdauer des “Angriffs”: 30 Minuten. pic.twitter.com/1s8PwHNWi9
— Martin Tschirsich (@mtschirs) August 4, 2022
Datenpanne mit Klartext-Passwörtern
Zum anderen hat die Verimi GmbH mit einer Datenpanne zu kämpfen, die nur durch eine Anfrage nach dem Informationsfreiheitsgesetz an die Öffentlichkeit gelangte. Intern hatte man bei Verimi Login-Daten und Passwörter von ~450.000 Nutzern im Klartext protokolliert.
Betrugsvorwürfe gegen „Verimi Pay“
Und zu guter Letzt stehen noch die aktuellen Vorwürfe der Security-Spezialistin Lilith Wittmann im Raum. Diese unterstellt der Verimi GmbH in ihrem lesenswerten Aufsatz „Verimi: Wenn Berater die Extrameile gehen“ gezielt staatliche Regulierungsbehörden betrogen zu haben. Konkret soll Verimi die Finanzdienstleistungsaufsicht über die Anzahl der durchgeführten „Verimi Pay“-Transaktionen getäuscht haben.
Keine guter Wochenausklang für das Prestigeprojekt.
