Abo
  • Services:
Anzeige
Die österreichische Bürgerkarte
Die österreichische Bürgerkarte (Bild: Wolfgang Ettlinger/Screenshot: Golem.de)

Österreich: Identitätsdiebstahl per Bürgerkarte

Die österreichische Bürgerkarte
Die österreichische Bürgerkarte (Bild: Wolfgang Ettlinger/Screenshot: Golem.de)

Das System für elektronische Signaturen in Österreich, die Bürgerkarte, weist eine Sicherheitslücke auf. Über den Angriff auf ein Java-Applet können Zugriffe so umgeleitet werden, dass der Nutzer auf der falschen Webseite unterschreibt.

In einem Vortrag beim Security Forum an der FH Oberösterreich in Hagenberg hat der Student Wolfgang Ettlinger eine Sicherheitslücke beim System der Bürgerkarte aufgezeigt. Veranstaltet wurde die Konferenz vom Verein Hagenberger Kreis zur Förderung der digitalen Sicherheit. Die Bürgerkarte dient Österreichern dazu, sich beispielsweise beim Onlinebanking oder bei E-Government-Anwendungen zu legitimieren.

Anzeige

Dazu gibt es neben der auf PCs lokal zu installierenden Bürgerkartenumgebung (BKU) auch die Möglichkeit, die Authentifizierung über ein Java-Applet vornehmen zu lassen. Das ist beispielsweise nützlich, um den Dienst auch mit mobilen Geräten zu nutzen.

Ettlingers Angriff basiert darauf, die Eingabe der PIN für die Bürgerkarte mitsamt der erfolgreichen Authentifizierung - die beispielsweise in einem Cookie gespeichert werden kann - abzufangen und umzuleiten. Wie bei vielen Java-Lücken kommt dabei ein versteckter iFrame zum Einsatz.

Der Beschreibung des Angriffs zufolge lässt sich das auch mit einem selbstgemachten Applet erreichen, das sich mit den Authentifizierungsservern verbindet. Damit ist es möglich, auch auf betrügerischen Webseiten, wie bei typischen Phishing-Angriffen, die Daten der Bürgerkarte abzufangen. Im Hintergrund können dann ganz andere Aktionen ablaufen wie beispielsweise eine Buchung per Onlinebanking. Ettlinger hat das mit dem Konto eines Freundes und dessen ausdrücklicher Zustimmung auch bereits demonstriert und in einem Video festgehalten.

Dem Student zufolge hat das österreichische Mocca-Projekt, das für das Bürgerkarten-Applet verantwortlich ist, die Lücke bereits geschlossen. Die früheren Versionen des Programms sind aber immer noch digital signiert und können missbraucht werden. Laut Ettlinger ist die einzige gründliche Abhilfe eine Aufnahme der alten Applets in die Blacklists von Java-Umgebungen.


eye home zur Startseite
razer 19. Apr 2012

sollte so sein, aber wenn ich mich recht erinnere sieht man mit processexplorer recht gut...

michi5579 19. Apr 2012

Das steht nicht im Artikel sondern wird prominent im Video verwendet. Und ich meine...

Mingfu 19. Apr 2012

Das war als Witz gedacht, oder? Der österreichische Humor kann manchmal so hinterfotzig...

yeppi1 19. Apr 2012

Man muss sich ja nur vorstellen, wie wenige es gibt, die das dann publik machen! Es darf...

deutscher_michel 19. Apr 2012

Das ist das Einzige was mich immer wieder beruhigt wenn es um Staats-Trojaner...



Anzeige

Stellenmarkt
  1. Weber Maschinenbau GmbH, Neubrandenburg, Groß Nemerow
  2. JOSEPH VÖGELE AG, Ludwigshafen
  3. init AG, Karlsruhe
  4. BLANCO GmbH + CO KG, Oberderdingen


Anzeige
Blu-ray-Angebote
  1. 5,49€
  2. 9,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Mehr dazu im aktuellen Whitepaper von Bitdefender


  1. Spionage im Wahlkampf

    Russland soll hinter neuem Hack von US-Demokraten stecken

  2. Comodo

    Zertifikatsausstellung mit HTML-Injection ausgetrickst

  3. Autonomes Fahren

    Mercedes stoppt Werbespot wegen überzogener Versprechen

  4. Panne behoben

    Paypal-Lastschrifteinzug funktioniert wieder

  5. Ecix

    Australier übernehmen zweitgrößten deutschen Internetknoten

  6. Die Woche im Video

    Ab in den Urlaub!

  7. Ausfall

    Störung im Netz von Netcologne

  8. Cinema 3D

    Das MIT arbeitet an 3D-Kino ohne Brille

  9. AVM

    Hersteller für volle Routerfreiheit bei Glasfaser und Kabel

  10. Hearthstone

    Blizzard feiert eine Nacht in Karazhan



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Hugo Barra verkündet Premium-Smartphone
  3. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro

Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte
  1. Killerspiel-Debatte ProSieben Maxx stoppt Übertragungen von Counter-Strike

Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Keysniffer Millionen kabellose Tastaturen senden Daten im Klartext
  2. Tor Hidden Services Über 100 spionierende Tor-Nodes
  3. Pilotprojekt EU will Open Source sicherer machen

  1. Re: Teilautonomes fahren riskant?

    kazhar | 09:04

  2. Re: Wo ist der Haken?

    Chris79 | 08:50

  3. Re: Zu Teuer (wie immer)

    Georgm. | 08:47

  4. Re: Aggressive Frontflügel (F-E...

    Moe479 | 08:29

  5. Re: UltraFinder als Alternative Suche

    Rulf | 08:25


  1. 14:22

  2. 13:36

  3. 13:24

  4. 13:13

  5. 12:38

  6. 09:01

  7. 18:21

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel