Abo
  • Services:
Anzeige
Neuer Personalausweis: Phishingangriff auf PIN demonstriert

Neuer Personalausweis

Phishingangriff auf PIN demonstriert

Die PIN des neuen Personalausweises lässt sich auch ohne Malware leicht stehlen, meint Jan Schejbal und zeigt einen einfachen Angriff. Nach einem Hinweis Schejbals auf eine Sicherheitslücke in der Updatefunktion der AusweisApp war diese zuvor zurückgezogen worden.

Schejbal zeigt unter fsk18.piratenpartei.de einen Weg, um an die Ausweis-PIN eines Nutzers zu gelangen. Er nutzt keine technische Schwachstelle, sondern setzt auf einen sorglosen Umgang der Nutzer mit ihrer Software.

Anzeige

Die Website verspricht, eine Altersprüfung vorzunehmen und fordert dazu auf, einem Link zu folgen. Dieser zeigt dann im Browserfenster eine Grafik an, mit der vorgetäuscht wird, dass die AusweisApp geöffnet worden ist. Der Nutzer wird zur Eingabe seiner PIN aufgefordert. Da die Eingabe in ein Webformular erfolgt, das lediglich aussieht wie die AusweisApp, erhält der Websitebetreiber Zugriff auf die PIN.

  • Phishing-Angriff auf den neuen Personalausweis (nPA)
  • Phishing-Angriff auf den neuen Personalausweis (nPA)
Phishing-Angriff auf den neuen Personalausweis (nPA)

Schejbals Angriff setzt also auf Phishing, die Sicherheitstechnik des neuen Personalausweises wird nicht ausgehebelt. Dabei sollte nicht vergessen werden, dass eine der größten Schwachstellen in solchen Sicherheitssystem eben vor dem Bildschirm sitzt.

Die AusweisApp-Simulation von Schejbal ist recht primitiv und soll nur die Gefahr aufzeigen. So lässt sich das angezeigte Fenster der AusweisApp nicht verschieben, was Nutzer stutzig machen sollte. Denkbar wäre aber durchaus, mit Javascript dafür zu sorgen, dass das vermeintliche Applikationsfenster zumindest innerhalb des Browserfensters verschiebbar ist. Auch ließe sich die Optik anhand der Browserkennung an des jeweilige Betriebssystem anpassen. Und auch eine Bildschirmtastatur ließe sich simulieren, so Schejbal.

"Bei unvorsichtigen Nutzern könnte dieser Angriff selbst dann funktionieren, wenn der Nutzer ein Lesegerät der höheren Sicherheitsstufe hat, bei denen man die PIN normalerweise über das Lesegerät eingibt. Eigentlich sollte es dem Nutzer auffallen, wenn er die PIN plötzlich am Rechner eingeben soll - aber wie viele Nutzer, die von den Sicherheitskonzepten keine Ahnung haben, werden die PIN trotzdem über die Computertastatur eingeben, wenn der Computer sie dazu auffordert und die Eingabe über das Lesegerät nicht akzeptiert?", fragt Schejbal.

Darüber hinaus signalisiert die AusweisApp, wenn sie bei aufgelegtem Ausweis aktiv ist. Dann wechselt das in der Taskleiste angezeigte Chipsymbol von grün zu blau. Auch daran wäre der Angriff leicht als solcher zu erkennen, sagt Schejbal.

Um die Identität des Ausweisbesitzers zu missbrauchen, reicht die PIN unterdessen nicht aus. Auf dem Chaos Communication Congress Ende 2010 (27C3) zeigten allerdings Frank Morgner und Dominik Oepen, was sich mit einer PIN anstellen lässt.


eye home zur Startseite
Tatsachen... 21. Jan 2011

o.k. Jungs, jetzt mal nachgedacht. Kann man so nicht heute schon jedes Passwort oder...

Spackenfinder 18. Jan 2011

Na dann hab ich Neuigkeiten für dich : dein fiktives Bankfach kann aucg geknackt werden...

serious business 18. Jan 2011

Die Werbung macht die Piratenpartei selbst indem sie sich für dieses Thema stark macht...

Kftzz 17. Jan 2011

I love Apple!!! Laura S.

Dany In Vitro 17. Jan 2011

Ergo kein Online-Banking mehr, keine EC und Kreditkarten, keine Überweisungsformulare...



Anzeige

Stellenmarkt
  1. Automotive Safety Technologies GmbH, Wolfsburg
  2. über Hays AG, Oberhausen
  3. Klinikum Stuttgart über Dr. Heimeier & Partner, Management- und Personalberatung GmbH, Stuttgart
  4. Allianz Deutschland AG, Unterföhring


Anzeige
Hardware-Angebote
  1. 94,90€ statt 109,90€
  2. und Gears of War 4 gratis erhalten
  3. (u. a. Asus GTX 1070 Strix OC, MSI GTX 1070 Gaming X 8G und Aero 8G OC)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Iana-Transition

    US-Staaten wollen neue Internetaufsicht stoppen

  2. Tintenpatronensperre

    HP hält dem Druck nicht stand

  3. Generation EQ

    Mercedes stellt Elektro-SUV mit 500 km Reichweite vor

  4. Waipu TV im Hands on

    Das richtig flexible Internetfernsehen

  5. Twitch

    Amazon macht Streamer in Breakaway zu Matchmakern

  6. Autonomes Fahren

    Die Ethik der Vollbremsung

  7. Renault

    Elektroauto Zoe mit 41-kWh-Akku und 400 km Reichweite

  8. Leistungsschutzrecht

    Oettingers bizarre Nachhilfestunde

  9. Dating-Portal

    Ermittlungen gegen Lovoo werden eingestellt

  10. Huawei

    Mobilfunkbetreiber sollen bei GBit nicht die Preise erhöhen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Soziale Netzwerke: Wie ich einen Betrüger aufspürte und seine Mama kontaktierte
Soziale Netzwerke
Wie ich einen Betrüger aufspürte und seine Mama kontaktierte
  1. iOS 10 und WatchOS 3.0 Apple bringt geschwätzige Tastatur-App zum Schweigen
  2. Rio 2016 Fancybear veröffentlicht medizinische Daten von US-Sportlern
  3. Datenbanksoftware Kritische, ungepatchte Zeroday-Lücke in MySQL-Server

Canon vs. Nikon: Superzoomer für unter 250 Euro
Canon vs. Nikon
Superzoomer für unter 250 Euro
  1. Snap Spectacles Snapchat stellt Sonnenbrille mit Kamera vor
  2. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  3. Bildbearbeitungs-App Prisma offiziell für Android erhältlich

Swift Playgrounds im Test: Apple infiziert Kinder mit Programmiertalent
Swift Playgrounds im Test
Apple infiziert Kinder mit Programmiertalent
  1. Asus PG248Q im Test 180 Hertz erkannt, 180 Hertz gebannt

  1. Jeden Tag eine neue e-Auto Ankündigung...

    atikalz | 10:11

  2. Re: Dieser Mann ist eine Gefahr für die...

    smirg0l | 10:09

  3. Re: Akkubetriebene Elektroautos sind zun Kotzen

    PearNotApple | 10:08

  4. Re: Ich werde langfristig HP ausschließen

    bofhl | 10:08

  5. Re: Ich mag Toplader... (kwt)

    M.P. | 10:08


  1. 09:55

  2. 09:36

  3. 09:27

  4. 09:00

  5. 08:43

  6. 07:57

  7. 07:39

  8. 18:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel