[OWL] Neue Schwachstelle beim ePerso aufgedeckt: Piraten zeigen einfachen Weg ,zum Ausspähen der PIN

["Andreas Rohrmann" <andreas AT rohrmann.com>]

Ahoi.

Eine wichtige Info zur Kenntnis (wer's noch nicht weiß)


Greetz Andreas70


------------------------ Ursprüngliche Nachricht -------------------------
Betreff: [Ankuendigungen] Neue Schwachstelle beim ePerso aufgedeckt:
Piraten zeigen einfachen Weg,zum Ausspähen der PIN
Datum:   Mo, 17.01.2011, 09:52
--------------------------------------------------------------------------

Neue Schwachstelle beim ePerso aufgedeckt: Piraten zeigen einfachen Weg
zum Ausspähen der PIN

Das Mitglied der Piratenpartei Jan Schejbal hat bereits im November des
letzten Jahres eine Sicherheitslücke in der AusweisApp, der
Anwendungssofware des neuen ePersos, aufgedeckt [1]. Durch diese
Schwachstelle wäre es möglich gewesen, auf den Rechner des Nutzers
Schadsoftware aufzuspielen.

Nun hat Schejbal einen Weg gefunden, um die ePerso-PIN eines Nutzers
auszuspähen, ohne hierzu überhaupt etwas auf dessen Rechner installieren
zu müssen. Der Angriff wird beim Anmeldevorgang auf der Webseite
http://fsk18.piratenpartei.de demonstriert.

»Die letzte Sicherheitslücke in der AusweisApp, die ich gefunden hatte,
ließ sich mit ein paar Zeilen Code und einem Update lösen. Dieses neue
Problem bekommt man nur in den Griff, wenn man die Nutzer dazu bringt,
aufzupassen - und das ist viel schwieriger« sagt Jan Schejbal zu seiner
Idee, die er - zusammen mit einer Anleitung, wie man sich schützen kann
- in seinem Blog [2] ausführlich erklärt. »Der Nutzer kann
sich zwar schützen, indem er auf bestimmte Merkmale achtet, aber das
wird in den Hochglanzbroschüren zum Ausweis leider nicht erwähnt.«

Daniel Flachshaar, Mitglied des Bundesvorstands der Piratenpartei,
ergänzt: »Wir PIRATEN sind froh, dass anscheinend vor Jan Schejbal
niemand auf den Gedanken gekommen ist, diese Schwachstelle auszunutzen
und wir sie nun rechtzeitig öffentlich aufdecken können. Dass auf diese
Weise bald die ersten PINs gestohlen werden, wird sich aber trotzdem
nicht vermeiden lassen. Und dass die PINs missbraucht werden können,
wurde schon nachgewiesen.«

»Diese neue Schwachstelle reiht sich ein in eine lange Reihe von
Fehlschlägen, die die Einführung des neues Personalausweises mit sich
gebracht hat. Egal, was die etablierten Parteien und ihre sogenannten
Spezialisten versuchen, den Bürgern weis zu machen. Der neue
Personalausweis ist in seiner derzeitigen Form ein Fluch und keinesfalls
ein Segen. Wieder einmal haben sie auf ganzer Linie versagt. Und wieder
muss der Bürger ihre Fehler ausbaden«, führt Flachshaar weiter aus und
schließt mit den Worten: »Ich bin heilfroh, dass mein alter Ausweis noch
viele Jahre gültig ist. Bis zu seinem Ablaufdatum wird dieses Land
hoffentlich endlich von Vernunft regiert. Die zahlreichen Wahlen in
diesem Jahr bieten vielen Bürgern die Möglichkeit, dazu einen ersten
Beitrag zu leisten.«

Hinweis:

Auch wer noch nicht Besitzer der AusweisApp ist, kann die Schwachstelle
durch die Eingabe einer beliebigen PIN beim Anmelden auf der Seite
http://fsk18.piratenpartei.de nachvollziehen.

------------------------------------------------------------------------

Quellen:

[1]
http://web.piratenpartei.de/Pressemitteilung-101109-Piratenpartei-beweist-AusweisApp-des-ePerso-ist-unsicher
[2]
https://janschejbal.wordpress.com/2011/01/17/eperso-pin-diebstahl-ohne-malware

------------------------------------------------------------------------

Verantwortlich für den Inhalt dieser Pressemitteilung:
Bundespressestelle der Piratenpartei Deutschland

Verantwortlich für den Versand dieser Pressemitteilung:
Bundespressestelle der Piratenpartei Deutschland

Diese Pressemitteilung finden Sie im Internet unter:
http://www.piratenpartei.de/Pressemitteilung-110117-Neue-Schwachstelle-beim-ePerso-aufgedeckt-Piraten-zeigen-einfachen-Weg-zum-Ausspaehen-der-PIN