Seit gestern wird sie unter www.ausweisapp.bund.de für Windows und Linux zum Download angeboten (eine Version für Mac soll Ende November folgen), schon hat ein Hacker eine erste Sicherheitslücke in der Anwendungssoftware für den neuen Personalausweis, genannt AusweisApp, ausfindig gemacht.
Jan Schejbal von der Piratenpartei Deutschland beschreibt in seinem Blog-Eintrag vom 9. November 2010, wie es ihm gelungen ist, über die Update-Funktion der AusweisApp Schadsoftware auf den PC des Benutzers einzuschleusen.
Der Angriff funktioniert im Wesentlichen aufgrund von zwei Sicherheitslücken:
Zunächst verbindet sich die AusweisApp über HTTPS mit dem Updateserver und prüft dabei auch, ob dessen SSL-Zertifikat gültig ist. Aber bei der Prüfung wird nicht berücksichtigt, ob das Zertifikat zum Hostnamen passt. Das ist die erste Sicherheitslücke, denn so benötigt ein Hacker, der die Anfragen an den Updateserver durch DNS-Manipulationen umleitet, kein gültiges Zertifikat für den Hostnamen des Updateservers. Es genügt ein beliebiges gültiges SSL-Zertifikat.
Die andere Sicherheitslücke liegt darin, dass die Installationsdateien für die Updates signiert sein müssen, um ausgeführt zu werden, die ZIP-Dateien, in denen sie enthalten sind, jedoch ohne Überprüfung entpackt werden. Dies kann man ausnutzen, um manipulierte ZIP-Dateien, die Schadsoftware enthalten, in beliebige Verzeichnisse des Dateisystems entpacken zu lassen.
Diese Lücken kompromittieren die Sicherheit der eID-Funktion zwar nicht direkt, sind aber ein mögliches Einfallstor für Schadsoftware.
Laut heise online prüft das Bundesministerium für Sicherheit in der Informationstechnik (BSI) die Durchführbarkeit des Angriffs und eventuelle Gegenmaßnahmen.
Update: heise online berichtet weiter, dass das BSI mittlerweile eingeräumt hat, dass bei Verwendung der Update-Funktion der aktuellen Version der AusweisApp die theoretische Möglichkeit
einer Infektion mit Schadsoftware besteht. Eine neue Version des Programms soll in Kürze
verfügbar sein.
Pingback: Presserückblick 27.10. – 27.11.2010 « Der Elektronische Personalausweis
Pingback: AusweisApp – Der aktuelle Stand « Der Elektronische Personalausweis