Österreich Identitätsdiebstahl per Bürgerkarte

Das System für elektronische Signaturen in Österreich, die Bürgerkarte, weist eine Sicherheitslücke auf. Über den Angriff auf ein Java-Applet können Zugriffe so umgeleitet werden, dass der Nutzer auf der falschen Webseite unterschreibt.

Anzeige

In einem Vortrag beim Security Forum an der FH Oberösterreich in Hagenberg hat der Student Wolfgang Ettlinger eine Sicherheitslücke beim System der Bürgerkarte aufgezeigt. Veranstaltet wurde die Konferenz vom Verein Hagenberger Kreis zur Förderung der digitalen Sicherheit. Die Bürgerkarte dient Österreichern dazu, sich beispielsweise beim Onlinebanking oder bei E-Government-Anwendungen zu legitimieren.

Dazu gibt es neben der auf PCs lokal zu installierenden Bürgerkartenumgebung (BKU) auch die Möglichkeit, die Authentifizierung über ein Java-Applet vornehmen zu lassen. Das ist beispielsweise nützlich, um den Dienst auch mit mobilen Geräten zu nutzen.

Ettlingers Angriff basiert darauf, die Eingabe der PIN für die Bürgerkarte mitsamt der erfolgreichen Authentifizierung - die beispielsweise in einem Cookie gespeichert werden kann - abzufangen und umzuleiten. Wie bei vielen Java-Lücken kommt dabei ein versteckter iFrame zum Einsatz.

Der Beschreibung des Angriffs zufolge lässt sich das auch mit einem selbstgemachten Applet erreichen, das sich mit den Authentifizierungsservern verbindet. Damit ist es möglich, auch auf betrügerischen Webseiten, wie bei typischen Phishing-Angriffen, die Daten der Bürgerkarte abzufangen. Im Hintergrund können dann ganz andere Aktionen ablaufen wie beispielsweise eine Buchung per Onlinebanking. Ettlinger hat das mit dem Konto eines Freundes und dessen ausdrücklicher Zustimmung auch bereits demonstriert und in einem Video festgehalten.

Dem Student zufolge hat das österreichische Mocca-Projekt, das für das Bürgerkarten-Applet verantwortlich ist, die Lücke bereits geschlossen. Die früheren Versionen des Programms sind aber immer noch digital signiert und können missbraucht werden. Laut Ettlinger ist die einzige gründliche Abhilfe eine Aufnahme der alten Applets in die Blacklists von Java-Umgebungen.

Kommentarübersicht
Re: OT: Security Alarm lol
razer 19. Apr 2012

sollte so sein, aber wenn ich mich recht erinnere sieht man mit processexplorer recht gut...

Re: Was bedeutet "universial" ? (k.t.)
michi5579 19. Apr 2012

Das steht nicht im Artikel sondern wird prominent im Video verwendet. Und ich meine...

Österreichischer Humor
Mingfu 19. Apr 2012

Das war als Witz gedacht, oder? Der österreichische Humor kann manchmal so hinterfotzig...

Re: Wurde schon oft (meist unter Annahme anderer...
yeppi1 19. Apr 2012

Man muss sich ja nur vorstellen, wie wenige es gibt, die das dann publik machen! Es darf...

Die Besten der Besten Sir!
deutscher_michel 19. Apr 2012

Das ist das Einzige was mich immer wieder beruhigt wenn es um Staats-Trojaner...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Software Ingenieur Safety (m/w)
    infoteam Software AG, Bubenreuth bei Erlangen oder Dortmund
  2. Netzwerkspezialist für 2nd-Level Software Support (m/w)
    REALTECH Services GmbH, Walldorf
  3. Prüfer/-in für die IT-Revision
    Kreissparkasse Tübingen, Tübingen
  4. Stellvertretender Teamleiter (m/w) IT-Helpdesk
    Rhenus AG & Co. KG, Holzwickede

 

Detailsuche

Folgen Sie uns
       
Videos
Politiker-LAN 2013 - Stimmen aus Politik und Branche Politiker-LAN 2013 - Stimmen aus Politik und Branche
Ticker
  1. Ventus

    Mit der Netzgemeinde gegen den Klimawandel

  2. Offline-Karten-App für Android

    Maps With Me Pro gratis in Amazons App-Shop

  3. Linux-Kernel

    P-States verringern Leistungsaufnahme auf Intel-CPUs

  4. Adobe

    Photoshop Express jetzt auch für Windows 8

  5. Browser

    Firefox blinkt nicht mehr

  6. Tallinn-Manual

    Regierung äußert sich zu Nato-Regeln zum Töten von Hackern

  7. Clark Asay

    Defensive Patente mit freier Software nicht vereinbar?

  8. Massenentlassung

    Überleben von Rapidshare steht infrage

  9. Razer Atrox

    Arcade- und Mod-Controller für die Xbox 360

  10. Opensuse

    Erster Milestone für Opensuse 13.1

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Politik/Recht
Bundestags-LAN: Rösler will Spiele-Champions
Bundestags-LAN
Rösler will Spiele-Champions

Wirtschaftsminister Rösler bekennt sich bei einer Gaming-Veranstaltung im Bundestag ausdrücklich zu Großproduktionen aus Deutschland - und erzählt, welchen Heimcomputer-Klassiker er als Jugendlicher hatte.

  1. Apple-Patent Mac und iPad hören es kratzen und klopfen
  2. Verfassungsgericht Anti-Terror-Datei ist in Teilen verfassungswidrig
  3. 2. Politiker-LAN Der Bundestag spielt wieder
Larry Page
Larry Page: "Microsoft will uns ausnutzen"
Larry Page
"Microsoft will uns ausnutzen"

Larry Page hat sich darüber beschwert, dass Microsoft bei Chatprogrammen kleingeistig sei, und sich für Interoperabilität eingesetzt. "Das ist wirklich traurig, so ist kein Fortschritt möglich", sagte er auf der Entwicklerkonferenz Google I/O.

  1. Google-Chef Larry Page leidet an einer Stimmbandlähmung
  2. Eric Schmidt Google Glass kommt später
  3. Multiscreen-Welt Google macht 3,35 Milliarden US-Dollar Gewinn
Games
Homosexualität in Spielen: Bug oder Feature?
Homosexualität in Spielen
Bug oder Feature?

Im Spiel Tomodachi Collection: New Life für den Nintendo 3DS ist es möglich, dass Männer einander heiraten. Nintendo bezeichnet das als Bug - und erntet dafür Empörung.

  1. Strategiespiel HTML5-Version von Freeciv veröffentlicht
  2. Shadow of the Eternals 1,5 Millionen US-Dollar für vier Stunden langen Auftakt
  3. Dokumentarfilm Frauenfeindlichkeit in der Spieleszene
Forumsbeiträge »
  1. Ventus Mit der Netzgemeinde gegen den Klimawandel

    Re: Oh Mann...

    DrWatson | 23:21

  2. Linux-Kernel P-States verringern Leistungsaufnahme auf Intel-CPUs

    Re: Leute, aufhören!

    Thaodan | 22:59

  3. Smartphone mit Moral Vorverkauf des Fairphones beginnt

    Re: Damit hat das Thema "Fair" zu tun:

    KarimS | 22:54

  4. Drosselung Piratenchef fordert Verstaatlichung der Netze der Telekom

    Wozu die Wall of Text? Partei hat den Lauer in...

    Analysator | 22:50

  5. Browser Firefox blinkt nicht mehr

    Re: schön! und wann wird die performance erhöht?

    fuzzy | 22:46

Ticker »
  1. Ventus Mit der Netzgemeinde gegen den Klimawandel

    14:00

  2. Offline-Karten-App für Android Maps With Me Pro gratis in Amazons App-Shop

    12:39

  3. Linux-Kernel P-States verringern Leistungsaufnahme auf Intel-CPUs

    10:41

  4. Adobe Photoshop Express jetzt auch für Windows 8

    10:05

  5. Browser Firefox blinkt nicht mehr

    10:02

  6. Tallinn-Manual Regierung äußert sich zu Nato-Regeln zum Töten von Hackern

    19:40

  7. Clark Asay Defensive Patente mit freier Software nicht vereinbar?

    18:24

  8. Massenentlassung Überleben von Rapidshare steht infrage

    16:44

Zum Artikel