Jan Schejbal, der bereits im November 2010 die Sicherheitslücke in der Update-Funktion der AusweisApp aufgedeckt hatte, hat nun eine Schwachstelle in der Online-Ausweis-Funktion ausfindig gemacht. Betroffen sind Nutzer, die einen Basiskartenleser besitzen und das sogenannte OWOK-Plugin der Firma Reiner SCT installiert haben.
Im Januar 2010 hatte Jan Schejbal eine Website entworfen, die einen Online-Ausweisvorgang simulierte und dabei die PIN des Benutzers ausspähte. Der Angriff wurde kritisiert, da es so zwar gelingt, an die PIN des Benutzers zu kommen, sofern dieser nicht vorsichtig genug ist. Allerdings kann man mit der PIN alleine den Ausweis nicht missbrauchen. Man benötigt entweder den Ausweis oder einen Trojaner, mit dem man auf den PC des Opfers zugreifen und den Ausweis aus der Ferne nutzen kann. Ein solcher Angriff wurde vom Chaos Computer Club demonstriert.
Der neue von Jan Schejbal beschriebene Angriff funktioniert in mehreren Stufen: Am Anfang steht das Ausspähen der PIN wie bei oben erwähntem Angriffsszenario vom Januar 2011. Im zweiten Schritt wird die Möglichkeit des OWOK-Plugins genutzt, über JavaScript mit der Chipkarte zu kommunizieren. So kann der Angreifer direkt Nachrichten (sogenannte APDSUs) an den Personalausweis schicken und die Antworten empfangen. Insbesondere ist es so möglich, dass der Angreifer einen Ausweisvorgang auf seinem eigenen Computer startet und die entsprechenden Anfragen nicht an seinen Ausweis, sondern an den Ausweis des Opfers weiterleitet. Das einzige, was der Betrüger nun noch benötigt, ist die PIN, die er bereits im ersten Schritt ausgespäht hat.
Zwar erscheint beim Opfer noch eine Sicherheitsabfrage, ob die Website (Seitenname) auf die Chipkarte zugreifen darf. Allerdings wird diese Abfrage bei bestimmten Seiten nicht angezeigt und Schejbal hat auf einer dieser Webseiten eine Sicherheitslücke (XSS-Lücke) entdeckt, durch die man den Angriff im Kontext dieser Seite ausführen kann. Somit unterbleibt auch die Sicherheitsabfrage.
Siehe auch: heise security über den Angriff
Pingback: 365 Tage Elektronischer Personalausweis | Der Elektronische Personalausweis