Abo
  • Services:

AusweisApp

Auto-Update prüft Zertifikat nicht ausreichend

Jan Schejbal weist auf eine Sicherheitslücke in der AusweisApp hin, die das Bundesinnenministerium seit kurzem für den neuen elektronischen Personalausweis zum Download anbietet.

Artikel veröffentlicht am ,

Die AusweisApp holt sich ihre Updates von einem per SSL gesicherten Server und überprüft, ob ein gültiges SSL-Zertfikat vorliegt, aber nicht, ob dieses auch zum Server passt, schreibt Schejbal in seinem Blog. Um davon zu profitieren, müsste ein Anbieter allerdings den Client auf einen anderen Server lenken, beispielsweise über einen manipulierten DNS-Server.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Wiesloch
  2. BIM Berliner Immobilienmanagement GmbH, Berlin

So könnte der Updatefunktion eine manipulierte Antwort untergeschoben werden, welche sie anweist, eine Datei von einer beliebigen URL herunterzuladen und zu installieren. Dabei erwartet der Updater laut Schejbal eine Zip-Datei, die entpackt und dann eine bestimmte .msi-Datei darin ausgeführt wird. Allerdings wird dabei eine Signatur überprüft, so dass ein direkter Angriff auf die AusweisApp auf diesem Weg eher schwierig sein dürfte.

Da die Zip-Datei aber vor der Signaturprüfung entpackt wird, sei es über relative Pfadangaben möglich, aus dem temporären Verzeichnis auszubrechen und somit beliebige Dateien ins Dateisystem zu schreiben und zu überschreiben, so Schejbal.

Nach Ansicht von Schejbal ist der Fehler für die Entwickler der AusweisApp leicht zu korrigieren.



Anzeige
Hardware-Angebote
  1. 59,79€ inkl. Rabatt
  2. (u. a. RT-AC5300 + Black Ops 4 für 255,20€ + Versand statt ca. 305€ im Vergleich und Blue Cave...
  3. (reduzierte Überstände, Restposten & Co.)

phade 12. Nov 2010

Wichtig ! Nicht vergessen ! Beim naechsten App-Update bitte gleich noch den Stuxnet mit...

ich_ 11. Nov 2010

ich denke ja die haben garkeiner firma irgendwas gegeben und setzten lieber auf security...

guert 11. Nov 2010

Appfel nicht Apfel! ;-)

Blackfoot 10. Nov 2010

Aktuell kann die AusweisAnwendung (Mittwochnachmittag) nicht mehr heruntergeladen...

Octopus 10. Nov 2010

Da sind dem Vernehmen nach noch weitere Macken drin u.a das das Certificat Pool des OS...


Folgen Sie uns
       


Vayyar Smart Home - Hands on

Vayyar hat auf der Ifa 2018 Vayyar Home vorgestellt. Die Box kann in einem Raum eine gestürzte Person erkennen und Hilfe rufen.

Vayyar Smart Home - Hands on Video aufrufen
SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

Segelflug: Die Höhenflieger
Segelflug
Die Höhenflieger

In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
Ein Bericht von Daniel Hautmann

  1. Luftfahrt Nasa testet leise Überschallflüge
  2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
  3. Elektroflieger Norwegen will elektrisch fliegen

Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

    •  /