[OWL] Piratenpartei beweist: "AusweisApp" des ePerso ist unsicher - Sicherheitslücke in AusweisApp wenige Stunden nach Veröffentlichun g von PIRATEN aufgedeckt

["Andreas Rohrmann" <andreas AT rohrmann.com>]

Ahoi.

Das dürfte wie eine Bombe einschlagen!

Siehe unten die Meldung.

PS:
   Der Typ ist CCC Mitglied und Pirat und hat in seinem
   Blog nachvollziehbar beschrieben, wie dilettantisch diese
   "Sicherheitsthemen" umgesetzt wurden.

Echt peinlich!


Greetz Andreas70
------------------------ Ursprüngliche Nachricht -------------------------
Betreff: [Ankuendigungen] Piratenpartei beweist: "AusweisApp" des ePerso
ist unsicher - Sicherheitslücke in AusweisApp wenige Stunden nach
Veröffentlichung von PIRATEN aufgedeckt
Von:     "Piratenpartei Deutschland Bundespressestelle"
Datum:   Di, 9.11.2010, 15:08
--------------------------------------------------------------------------

Piratenpartei beweist: "AusweisApp" des ePerso ist unsicher

Sicherheitslücke in AusweisApp wenige Stunden nach Veröffentlichung von
PIRATEN aufgedeckt

Noch in der Nacht nach ihrem Erscheinen hat Jan Schejbal, Mitglied der
Piratenpartei, eine Sicherheitslücke in der AusweisApp (*), der
Anwendungssoftware des ePerso, aufgedeckt. Durch eine Schwachstelle in
der automatischen Update-Funktion können Angreifer auf den Rechner des
Nutzers Schadsoftware aufspielen und so die Kontrolle über das Gerät
erlangen. Paradoxerweise wird nun gerade die Sicherheit des Computers
selbst, die auch das Innenministerium als Voraussetzung für die sichere
Nutzung des ePerso sieht, durch die AusweisApp unterwandert.

»Leider konnte ich nur die AusweisApp testen, weil ich weder den ePerso
noch ein entsprechendes Lesegerät habe«, erklärt Jan Schejbal. »Es
bestehen aber garantiert noch größere Sicherheitslücken. Der eigentliche
Kern des ePerso-Systems - der Chip und die Protokolle - ist zwar sicher
konstruiert, aber im Umfeld gibt es Schwachstellen. Ich bin sicher, dass
es auch möglich ist, die PIN und eventuell die aufgedruckte
Kartenzugangsnummer zu entwenden, auch ohne dass dafür der Rechner des
Nutzers verseucht werden muss. Ein anderer Angriff erlaubt es
gegebenenfalls auch, dem Nutzer vorzutäuschen, dass er sich für etwas
Ungefährliches ausweist, während der Angreifer mit dessen Identität
einkaufen geht. Kurz: Die Behauptung des Innenministeriums, die
Verwendung des ePerso sei sicher, ist ? wie zu erwarten war ? absolut
unhaltbar.«

Die AusweisApp aktualisiert sich automatisch bei jedem Start. Dabei
versucht sie, eine sichere Verbindung zum Updateserver aufzubauen. Mit
einer Reihe von Tricks kann ein Angreifer, der die Internetverbindung
zum Beispiel über ein ungesichertes W-LAN Netzwerk oder einen
manipulierten DNS-Server kontrolliert, die vermeintlich sichere
Verbindung umleiten und ein gefälschtes Updatepaket einschleusen. Durch
einen weiteren Fehler kann auch die zweite Sicherheitsebene umgangen
werden, wodurch der Angreifer beispielsweise eigene (Schad-)Software
installieren kann. Eine ausführliche technische Beschreibung des
Angriffs mitsamt der zum Ausprobieren nötigen Dateien hat Jan Schejbal
in seinem Blog veröffentlicht [1], ein Pressefoto finden Sie auf
Pirate-Images.net [2].

Die Piratenpartei, die sich gegen den ePerso ausspricht, hatte vor
seiner Einführung gewarnt und allen Bürgern geraten, sich rechtzeitig
noch einen alten Ausweis ausstellen zu lassen. Angesichts der
bestehenden Sicherheitslücken sollten Anwender vom Einsatz des
Personalausweises am Computer absehen, bis eine sichere Version der
dazugehörigen Software zur Verfügung steht [3].

* Software zur Nutzung des neuen Personalausweis am Computer, früher
unter dem Namen "Bürgerclient" angekündigt.

------------------------------------------------------------------------
Quellen:

[1]
http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/

[2] http://pirate-images.net/displayimage.php?pos=-397

[3]
http://www.piratenpartei.de/1010296-Wirklich-frei-bleiben-mit-dem-alten-Personalausweis