Erste Sicherheitslücke in der AusweisApp aufgedeckt

Seit gestern wird sie unter www.ausweisapp.bund.de für Windows und Linux zum Download angeboten (eine Version für Mac soll Ende November folgen), schon hat ein Hacker eine erste Sicherheitslücke in der Anwendungssoftware für den neuen Personalausweis, genannt AusweisApp, ausfindig gemacht.

Jan Schejbal von der Piratenpartei Deutschland beschreibt in seinem Blog-Eintrag vom 9. November 2010, wie es ihm gelungen ist, über die Update-Funktion der AusweisApp Schadsoftware auf den PC des Benutzers einzuschleusen.

Der Angriff funktioniert im Wesentlichen aufgrund von zwei Sicherheitslücken:

Zunächst verbindet sich die AusweisApp über HTTPS mit dem Updateserver und prüft dabei auch, ob dessen SSL-Zertifikat gültig ist. Aber bei der Prüfung wird nicht berücksichtigt, ob das Zertifikat zum Hostnamen passt. Das ist die erste Sicherheitslücke, denn so benötigt ein Hacker, der die Anfragen an den Updateserver durch DNS-Manipulationen umleitet, kein gültiges Zertifikat für den Hostnamen des Updateservers. Es genügt ein beliebiges gültiges SSL-Zertifikat.

Die andere Sicherheitslücke liegt darin, dass die Installationsdateien für die Updates signiert sein müssen, um ausgeführt zu werden, die ZIP-Dateien, in denen sie enthalten sind, jedoch ohne Überprüfung entpackt werden. Dies kann man ausnutzen, um manipulierte ZIP-Dateien, die Schadsoftware enthalten, in beliebige Verzeichnisse des Dateisystems entpacken zu lassen.

Diese Lücken kompromittieren die Sicherheit der eID-Funktion zwar nicht direkt, sind aber ein mögliches Einfallstor für Schadsoftware.

Laut heise online prüft das Bundesministerium für Sicherheit in der Informationstechnik (BSI) die Durchführbarkeit des Angriffs und eventuelle Gegenmaßnahmen.

Update: heise online berichtet weiter, dass das BSI mittlerweile eingeräumt hat, dass bei Verwendung der Update-Funktion der aktuellen Version der AusweisApp die theoretische Möglichkeit einer Infektion mit Schadsoftware besteht. Eine neue Version des Programms soll in Kürze verfügbar sein.

Dieser Beitrag wurde unter Pressespiegel abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu Erste Sicherheitslücke in der AusweisApp aufgedeckt

  1. Pingback: Presserückblick 27.10. – 27.11.2010 « Der Elektronische Personalausweis

  2. Pingback: AusweisApp – Der aktuelle Stand « Der Elektronische Personalausweis

Kommentare sind geschlossen.