Weitere Sicherheitslücke beim ePerso

Das Piratenpartei-Mitglied Jan Schejbal hat herausgefunden, wie sich ein Angreifer im Internet mit dem elektronischen Personalausweis (ePerso) eines Opfers ausweisen und ihn für betrügerische Aktivitäten nutzen kann. Der Angreifer nutzt dabei eine präparierte Webseite, um über eine gefälschte AusweisApp an die PIN eines ePersos zu gelangen und mit Hilfe eines Lesegerätes auch an den ePerso selbst.

Schejbal setzt bei seinem Angriff auf eine Funktion des Browser-Plugins "OWOK", das Webseiten den Zugriff auf Kartenlesegeräte ermöglicht. "Das Plugin gehört zu einem der sogenannten "Starter-Kits", mit denen zu Beginn des ePerso-Projekts unsichere Basislesegeräte mit Steuergeldern subventioniert unter die Bevölkerung gebracht wurden", so Jan Schejbal. "Ich gehe aber davon aus, dass auch andere Plugins betroffen sind."

Es sei "keine gute Idee und ziemlich unnötig", Webseiten uneingeschränkten Low-Level-Zugriff auf Chipkarten zu geben. Als Hauptproblem sieht er jedoch die "die bescheuerte Idee, für eine derart sicherheitsrelevante Anwendung unsichere Lesegeräte (Basisleser/Klasse-1-Leser)" zu verwenden und dies auch noch zu fördern.

Die technischen Details sowie eine Videodemonstration eines Angriffs hat Jan Schejbal in seinem Blog veröffentlicht. Für die Angriffsmethode müssen ein Lesegerät, das OWOK-Plugin sowie eine kompatible Karte vorhanden sein, aber ein Ausweis ist nicht unbedingt nötig.

Schejbal hatte bereits im November 2010, kurz nach Einführung des ePersos, die Unsicherheit der dazugehörigen AusweisApp gezeigt. Im Januar 2011 zeigte er, wie Angreifer die PIN des neuen Personalausweises ausspähen können. Da neben der PIN noch der Zugriff auf den Ausweis nötig ist, konnte durch diese Lücke allein der Ausweis noch nicht missbraucht werden. Das hat sich laut Schejbal nun geändert.