“AusweisApp” des ePerso ist unsicher

Piratenpartei beweist:
“AusweisApp” des ePerso ist unsicher

Sicherheitslücke in AusweisApp wenige Stunden nach Veröffentlichung von PIRATEN aufgedeckt!

Noch in der Nacht der Erscheinung hat PIRAT Jan Schejbal eine Sicherheitslücke in der AusweisApp (*), der Anwendungssoftware des ePerso, aufgedeckt. Durch eine Schwachstelle in der automatischen Update-Funktion können Angreifer auf den Rechner des Nutzers Schadsoftware aufspielen und so die Kontrolle über das Gerät erlangen. Paradoxerweise wird nun gerade die Sicherheit des Computers selbst, die auch das Innenministerium als Voraussetzung für die sichere Nutzung des ePerso sieht, durch die AusweisApp unterwandert.

Die AusweisApp aktualisiert sich automatisch bei jedem Start. Dabei versucht sie, eine sichere Verbindung zu einem “Updateserver” aufzubauen. Dieser Server soll die Anwendung jeweils automatisch aktualisieren.

Mit einer Reihe von Tricks kann ein Angreifer, der die Internetverbindung zum Beispiel über ein ungesichertes W-LAN Netzwerk oder einen manipulierten DNS-Server kontrolliert, die vermeintlich sichere Verbindung umleiten und ein gefälschtes Updatepaket mit Viren oder Trojanern einschleusen.

Durch einen weiteren Fehler kann auch die zweite Sicherheitsebene umgangen werden, wodurch der Angreifer beispielsweise eigene (Schad-)Software installieren kann. Eine ausführliche technische Beschreibung des Angriffs mitsamt der zum Ausprobieren nötigen Dateien hat Jan Schejbal in seinem Blog veröffentlicht [1] – auch ein passendes Pressefoto [2].

Die Piratenpartei, die sich klar gegen den ePerso ausspricht, hatte vor seiner Einführung gewarnt und allen Bürgern geraten, sich rechtzeitig noch einen alten Ausweis ausstellen zu lassen. Angesichts der bestehenden Sicherheitslücken sollten Anwender vom Einsatz des Personalausweises am Computer absehen, bis eine sichere Version der dazugehörigen Software zur Verfügung steht [3].

—-
* Software zur Nutzung des neuen Personalausweis am Computer, früher unter dem Namen “Bürgerclient” angekündigt.

Quellen:
[1] http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/
[2] http://pirate-images.net/displayimage.php?pos=-397
[3] http://www.piratenpartei.de/1010296-Wirklich-frei-bleiben-mit-dem-alten-Personalausweis