Österreich: Identitätsdiebstahl per Bürgerkarte
Die österreichische Bürgerkarte (Bild: Wolfgang Ettlinger/Screenshot: Golem.de)

Österreich Identitätsdiebstahl per Bürgerkarte

Das System für elektronische Signaturen in Österreich, die Bürgerkarte, weist eine Sicherheitslücke auf. Über den Angriff auf ein Java-Applet können Zugriffe so umgeleitet werden, dass der Nutzer auf der falschen Webseite unterschreibt.

Anzeige

In einem Vortrag beim Security Forum an der FH Oberösterreich in Hagenberg hat der Student Wolfgang Ettlinger eine Sicherheitslücke beim System der Bürgerkarte aufgezeigt. Veranstaltet wurde die Konferenz vom Verein Hagenberger Kreis zur Förderung der digitalen Sicherheit. Die Bürgerkarte dient Österreichern dazu, sich beispielsweise beim Onlinebanking oder bei E-Government-Anwendungen zu legitimieren.

Dazu gibt es neben der auf PCs lokal zu installierenden Bürgerkartenumgebung (BKU) auch die Möglichkeit, die Authentifizierung über ein Java-Applet vornehmen zu lassen. Das ist beispielsweise nützlich, um den Dienst auch mit mobilen Geräten zu nutzen.

Ettlingers Angriff basiert darauf, die Eingabe der PIN für die Bürgerkarte mitsamt der erfolgreichen Authentifizierung - die beispielsweise in einem Cookie gespeichert werden kann - abzufangen und umzuleiten. Wie bei vielen Java-Lücken kommt dabei ein versteckter iFrame zum Einsatz.

Der Beschreibung des Angriffs zufolge lässt sich das auch mit einem selbstgemachten Applet erreichen, das sich mit den Authentifizierungsservern verbindet. Damit ist es möglich, auch auf betrügerischen Webseiten, wie bei typischen Phishing-Angriffen, die Daten der Bürgerkarte abzufangen. Im Hintergrund können dann ganz andere Aktionen ablaufen wie beispielsweise eine Buchung per Onlinebanking. Ettlinger hat das mit dem Konto eines Freundes und dessen ausdrücklicher Zustimmung auch bereits demonstriert und in einem Video festgehalten.

Dem Student zufolge hat das österreichische Mocca-Projekt, das für das Bürgerkarten-Applet verantwortlich ist, die Lücke bereits geschlossen. Die früheren Versionen des Programms sind aber immer noch digital signiert und können missbraucht werden. Laut Ettlinger ist die einzige gründliche Abhilfe eine Aufnahme der alten Applets in die Blacklists von Java-Umgebungen.


razer 19. Apr 2012

sollte so sein, aber wenn ich mich recht erinnere sieht man mit processexplorer recht gut...

michi5579 19. Apr 2012

Das steht nicht im Artikel sondern wird prominent im Video verwendet. Und ich meine...

Mingfu 19. Apr 2012

Das war als Witz gedacht, oder? Der österreichische Humor kann manchmal so hinterfotzig...

yeppi1 19. Apr 2012

Man muss sich ja nur vorstellen, wie wenige es gibt, die das dann publik machen! Es darf...

deutscher_michel 19. Apr 2012

Das ist das Einzige was mich immer wieder beruhigt wenn es um Staats-Trojaner...

Kommentieren



Anzeige

  1. Kundenberater (m/w) Abrechnung / Billing / Marktkommunikation
    AKDB, Landshut
  2. Research Engineer for Video Surveillance (m/w)
    Robert Bosch GmbH, Hildesheim
  3. IT-Spezialist (m/w) Applikationsmanagement
    Medizinischer Dienst der Krankenversicherung in Bayern, München
  4. Content Manager Test Factory Management Suite (m/w)
    AVL List GmbH, Graz (Österreich)

 

Detailsuche


Folgen Sie uns
       


  1. Test Ultimate Evil Edition

    Diablo 3 zum Dritten

  2. Kaspersky Antivirus

    Sicherheitssoftware mit Webcam-Sperre und Ransomware-Schutz

  3. Computerspiele

    Schlechtes Wetter macht gute Games

  4. Vernetzte Geräte

    Tausende Sicherheitslücken entdeckt

  5. Android

    Kommende LG-Geräte erhalten G3-Bedienung

  6. The Devil's Men

    Lebensgefahr im Steampunk-Adventure

  7. Hitchbot

    Trampender Roboter kommt vielleicht nach Deutschland

  8. Suchmaschinen

    Initiative will Google mit freiem Webindex angreifen

  9. Videostreaming

    Netflix bezahlt nun alle vier großen US-Provider

  10. Microsoft

    Patch für Internet Explorer macht Probleme



Haben wir etwas übersehen?

E-Mail an news@golem.de



Surface Pro 3 im Test: Das Tablet, das Notebook sein will
Surface Pro 3 im Test
Das Tablet, das Notebook sein will
  1. Microsoft Surface Pro 3 ab Ende August in Deutschland erhältlich
  2. Windows-Tablet Microsoft senkt Preise des Surface Pro 2
  3. Microsoft-Tablet Surface Pro 3 gegen Surface Pro 2

DCMM 2014: Wenn PC-Gehäuse zu Kunstwerken werden
DCMM 2014
Wenn PC-Gehäuse zu Kunstwerken werden
  1. Fifa 15 angespielt Verbesserter Antritt bringt viele neue Tore
  2. Spielemesse Gamescom fast ausverkauft
  3. Spielebranche Gamescom soll bis 2019 in Köln bleiben

Raspberry B+ im Test: Sparsamer Nachfolger für mehr Bastelspaß
Raspberry B+ im Test
Sparsamer Nachfolger für mehr Bastelspaß
  1. Erweiterungsplatinen Der Raspberry Pi bekommt Hüte
  2. Odroid W Raspberry Pi-Klon für Fortgeschrittene
  3. Eric Anholt Langsamer Fortschritt bei Raspberry-Pi-Grafiktreiber

    •  / 
    Zum Artikel