Abo
  • Services:
Anzeige

AusweisApp

Auto-Update prüft Zertifikat nicht ausreichend

Jan Schejbal weist auf eine Sicherheitslücke in der AusweisApp hin, die das Bundesinnenministerium seit kurzem für den neuen elektronischen Personalausweis zum Download anbietet.

Die AusweisApp holt sich ihre Updates von einem per SSL gesicherten Server und überprüft, ob ein gültiges SSL-Zertfikat vorliegt, aber nicht, ob dieses auch zum Server passt, schreibt Schejbal in seinem Blog. Um davon zu profitieren, müsste ein Anbieter allerdings den Client auf einen anderen Server lenken, beispielsweise über einen manipulierten DNS-Server.

Anzeige

So könnte der Updatefunktion eine manipulierte Antwort untergeschoben werden, welche sie anweist, eine Datei von einer beliebigen URL herunterzuladen und zu installieren. Dabei erwartet der Updater laut Schejbal eine Zip-Datei, die entpackt und dann eine bestimmte .msi-Datei darin ausgeführt wird. Allerdings wird dabei eine Signatur überprüft, so dass ein direkter Angriff auf die AusweisApp auf diesem Weg eher schwierig sein dürfte.

Da die Zip-Datei aber vor der Signaturprüfung entpackt wird, sei es über relative Pfadangaben möglich, aus dem temporären Verzeichnis auszubrechen und somit beliebige Dateien ins Dateisystem zu schreiben und zu überschreiben, so Schejbal.

Nach Ansicht von Schejbal ist der Fehler für die Entwickler der AusweisApp leicht zu korrigieren.


eye home zur Startseite
phade 12. Nov 2010

Wichtig ! Nicht vergessen ! Beim naechsten App-Update bitte gleich noch den Stuxnet mit...

ich_ 11. Nov 2010

ich denke ja die haben garkeiner firma irgendwas gegeben und setzten lieber auf security...

guert 11. Nov 2010

Appfel nicht Apfel! ;-)

Blackfoot 10. Nov 2010

Aktuell kann die AusweisAnwendung (Mittwochnachmittag) nicht mehr heruntergeladen...

Octopus 10. Nov 2010

Da sind dem Vernehmen nach noch weitere Macken drin u.a das das Certificat Pool des OS...



Anzeige

Stellenmarkt
  1. FLYERALARM GmbH, Würzburg
  2. Bundesanstalt für Immobilienaufgaben, Bonn
  3. Wilken NEUTRASOFT GmbH, Greven bei Münster/Westfalen
  4. KRZN GmbH, Kamp-Lintfort


Anzeige
Spiele-Angebote
  1. 47,99€
  2. 1,49€
  3. 25,99€

Folgen Sie uns
       


  1. Gebärdensprache

    Lautlos in der IT-Welt

  2. Denverton

    Intels Atom C3000 haben 16 Kerne bei 32 Watt

  3. JR Maglev

    Mitsubishi steigt aus Magnetbahn-Projekt aus

  4. Forschung

    HPE-Supercomputer sollen Missionen zum Mars unterstützen

  5. IEEE 802.11ax

    Broadcom bietet Chip-Plattform für das nächste 5-GHz-WLAN

  6. Alternativer PDF-Reader

    ZDI nötigt Foxit zum Patchen von Sicherheitslücken

  7. Elektro-Cabriolet

    Vision Mercedes-Maybach 6 mit 500 km Reichweite

  8. Eufy Genie

    Ankers Echo-Dot-Konkurrenz kostet 50 Euro

  9. Kaby Lake Refresh

    Intel bringt 15-Watt-Quadcores für Ultrabooks

  10. Indiegames

    Erfahrungen mit der zufallsgenerierten Apokalypse



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Fujitsu Lifebook U937 im Test: 976 Gramm reichen für das fast perfekte Notebook
Fujitsu Lifebook U937 im Test
976 Gramm reichen für das fast perfekte Notebook
  1. DLU Fujitsu entwickelt Deep-Learning-Chips
  2. Celsius-Workstations Fujitsu bringt sichere Notebooks und kabellose Desktops

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

  1. Re: Age of Empires 4

    CSCmdr | 12:18

  2. Re: Sieht ja chic aus

    tingelchen | 12:17

  3. Re: Tesla hat einen Markt

    JackIsBlack | 12:15

  4. Re: BioWare ist eine ziemlich

    keldana | 12:15

  5. Re: Piraten

    pythoneer | 12:12


  1. 12:01

  2. 11:59

  3. 11:45

  4. 11:31

  5. 10:06

  6. 09:47

  7. 09:26

  8. 09:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel