"AusweisApp" gehackt: Die Perso-Software hat ein Leck
Wer den neuen Personalausweis im Internet nutzt, braucht die sogenannte "AusweisApp" um sich auszuweisen und Dokumente zu signieren. Leider ist sie nicht ganz dicht.
Ärger mit der "AusweisApp": Das Programm, mit dem man den neuen Personalausweis im Internet nutzen kann, um Behördenpost zu signieren oder sich gegenüber einem Online-Shop elektronisch auszuweisen, enthält eine Sicherheitslücke.
Wie der Internet-Aktivist Jan Schejbal in seinem Blog berichtet, ist der Perso selbst nicht betroffen, doch lässt sich die "AusweisApp" dazu verwenden, Datenschädlinge auf den Rechner zu bringen. Da sich die vom Bundesinnenministerium angebotene Anwendung, die früher "Bürgerclient" hieß, wohl rasant verbreiten wird, könnte sie schnell zum Angriffsziel werden.
Die Lücke steckt laut Schejbal in der automatischen Updatefunktion der "AusweisApp". Sie lädt zwar eine eventuell verfügbare Aktualisierung mittels der Verschlüsselungstechnik SSL herunter, überprüft dabei aber nicht, ob das übermittelte Sicherheitszertifikat auch zum Namen des absendenden Servers passt. Ausnutzen lässt sich das beispielsweise in einem offenen Netz, etwa in einem Internet-Café. Dort wäre es möglich, den offiziellen "AusweisApp"-Server zu imitieren, indem man die Namensauflösung (DNS) manipuliert - für halbwegs versierte Angreifer kein großes Problem.
Anschließend verschickt man dann eine manipulierte Version der "AusweisApp". Zwar wird der Download anschließend noch einmal mit Hilfe einer elektronischen Signatur überprüft. Doch hier steckt eine weitere Lücke. Mittels geschickter Manipulation kann man laut Schejbal Programmcode auch außerhalb der "AusweisApp"-Verzeichnisse hinterlassen und damit an anderer Stelle Schädlingscode ablegen.
Immerhin soll die Problematik in der "AusweisApp", wie Schejbal schreibt, leicht zu beheben sein. Die Entwickler müssen nur ein Update nachreichen, das die fehlerhafte Server-Überprüfung und die Möglichkeit ersetzt, in fremde Verzeichnisse zu schreiben. Bleibt zu hoffen, dass genügend Nutzer das Programm schnell genug aktualisieren, bevor Virenproduzenten auf die Idee kommen, die Lücke auszunutzen.
Wer auf Nummer sicher gehen will, sollte nicht die automatische Update-Funktion nutzen, sobald die Aktualisierung bereit steht, sondern sich diese direkt aus dem Web besorgen. Moderne Webbrowser überprüfen, ob der Server auch zur Signatur passt.
Für das Bundesinnenministerium (BMI) ist die "AusweisApp"-Panne nur die jüngste Perso-Peinlichkeit. So hatte der Chaos Computer Club bereits eine möglicherweise schwerwiegende Sicherheitslücke bei der Verwendung des neuen Ausweises am PC aufgedeckt, an der das BMI wegen des Kaufs billiger Kartenleser auch noch teilweise mitschuldig war.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Hoffnung und Klimakrise
Was wir meinen, wenn wir Hoffnung sagen
Spiegel-Kolumnist über Zukunft
„Langfristig ist doch alles super“
+++ Nachrichten im Ukraine-Krieg +++
Slowakischer Regierungschef bei Putin im Kreml
Lohneinbußen für Volkswagen-Manager
Der Witz des VW-Vorstands
Rechte Gewalt in Görlitz
Mutmaßliche Neonazis greifen linke Aktivist*innen an
Krieg in der Ukraine
„Weihnachtsgrüße“ aus Moskau