AusweisApp

Auto-Update prüft Zertifikat nicht ausreichend

Jan Schejbal weist auf eine Sicherheitslücke in der AusweisApp hin, die das Bundesinnenministerium seit kurzem für den neuen elektronischen Personalausweis zum Download anbietet.

Artikel veröffentlicht am ,

Die AusweisApp holt sich ihre Updates von einem per SSL gesicherten Server und überprüft, ob ein gültiges SSL-Zertfikat vorliegt, aber nicht, ob dieses auch zum Server passt, schreibt Schejbal in seinem Blog. Um davon zu profitieren, müsste ein Anbieter allerdings den Client auf einen anderen Server lenken, beispielsweise über einen manipulierten DNS-Server.

Stellenmarkt
  1. Teamleiter IT-Betrieb (m/w/d)
    BAHN-BKK, Frankfurt am Main
  2. BI Data Engineer (w/m/d)
    dmTECH GmbH, bundesweit
Detailsuche

So könnte der Updatefunktion eine manipulierte Antwort untergeschoben werden, welche sie anweist, eine Datei von einer beliebigen URL herunterzuladen und zu installieren. Dabei erwartet der Updater laut Schejbal eine Zip-Datei, die entpackt und dann eine bestimmte .msi-Datei darin ausgeführt wird. Allerdings wird dabei eine Signatur überprüft, so dass ein direkter Angriff auf die AusweisApp auf diesem Weg eher schwierig sein dürfte.

Da die Zip-Datei aber vor der Signaturprüfung entpackt wird, sei es über relative Pfadangaben möglich, aus dem temporären Verzeichnis auszubrechen und somit beliebige Dateien ins Dateisystem zu schreiben und zu überschreiben, so Schejbal.

Nach Ansicht von Schejbal ist der Fehler für die Entwickler der AusweisApp leicht zu korrigieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


phade 12. Nov 2010

Wichtig ! Nicht vergessen ! Beim naechsten App-Update bitte gleich noch den Stuxnet mit...

ich_ 11. Nov 2010

ich denke ja die haben garkeiner firma irgendwas gegeben und setzten lieber auf security...

guert 11. Nov 2010

Appfel nicht Apfel! ;-)

Blackfoot 10. Nov 2010

Aktuell kann die AusweisAnwendung (Mittwochnachmittag) nicht mehr heruntergeladen...



Aktuell auf der Startseite von Golem.de
Cybermonday
CPU-Kaufberatung für Spieler

Wir erklären, wann sich ein neuer Prozessor wirklich lohnt und wann man doch lieber warten oder in eine Grafikkarte investieren sollte.
Von Martin Böckmann

Cybermonday: CPU-Kaufberatung für Spieler
Artikel
  1. Netzwerkprotokoll: Was Admins und Entwickler über IPv6 wissen müssen
    Netzwerkprotokoll
    Was Admins und Entwickler über IPv6 wissen müssen

    Sogar für IT-Profis scheint das Netzwerkprotokoll IPv6 oft ein Buch mit sieben Siegeln - und stößt bei ihnen nicht auf bedingungslose Liebe. Wir überprüfen die Vorbehalte in der Praxis und geben Tipps.
    Von Jochen Demmer

  2. Black Week - E-Learning-Pakete zum halben Preis
     
    Black Week - E-Learning-Pakete zum halben Preis

    Nur noch bis Mittwoch, 30. November! Geballtes IT-Know-how durch E-Learning-Kurse - für nur 50 Prozent des regulären Preises!
    Sponsored Post von Golem Karrierewelt

  3. Black Friday 2022: Heute letzte Chance auf Deals
     
    Black Friday 2022: Heute letzte Chance auf Deals

    Die Black Friday Woche endet und bietet heute mit dem Cyber Monday die letzte Chance auf Deals bei Amazon, Media Markt, Saturn, Lego und Co.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Monday bei Media Markt & Saturn • Nur noch heute: Black Friday Woche bei Amazon & NBB • MindStar: Intel Core i7 12700K 359€ • Gigabyte RX 6900 XT 799€ • Xbox Series S 222€ • Gamesplanet Winter Sale - neue Angebote • WD_BLACK SN850 1TB 129€ [Werbung]
    •  /