Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

AusweisApp: Auto-Update prüft Zertifikat nicht ausreichend

Jan Schejbal weist auf eine Sicherheitslücke in der AusweisApp hin, die das Bundesinnenministerium seit kurzem für den neuen elektronischen Personalausweis zum Download anbietet.
/ Jens Ihlenfeld
38 Kommentare News folgen (öffnet im neuen Fenster)

Die AusweisApp(öffnet im neuen Fenster) holt sich ihre Updates von einem per SSL gesicherten Server und überprüft, ob ein gültiges SSL-Zertfikat vorliegt, aber nicht, ob dieses auch zum Server passt, schreibt Schejbal in seinem Blog(öffnet im neuen Fenster) . Um davon zu profitieren, müsste ein Anbieter allerdings den Client auf einen anderen Server lenken, beispielsweise über einen manipulierten DNS-Server.

So könnte der Updatefunktion eine manipulierte Antwort untergeschoben werden, welche sie anweist, eine Datei von einer beliebigen URL herunterzuladen und zu installieren. Dabei erwartet der Updater laut Schejbal eine Zip-Datei, die entpackt und dann eine bestimmte .msi-Datei darin ausgeführt wird. Allerdings wird dabei eine Signatur überprüft, so dass ein direkter Angriff auf die AusweisApp auf diesem Weg eher schwierig sein dürfte.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Leitung – Amt für Digitalisierung und IT (Wirtschaftsinformatik, angewandte Informatik oder Verwaltungsinformatik) Landkreis Rotenburg Haupt- und Personalamt, Rotenburg (Wümme),Homeoffice (öffnet im neuen Fenster)
Security Application Engineer (w/m/div) Deutsches Patent- und Markenamt, München (öffnet im neuen Fenster)
Datacenter Admin (m/w/d) dbs Delta Business Service GmbH, Poing (öffnet im neuen Fenster)
Web Developer (m/w/d) alstria advisors GmbH, Hamburg (öffnet im neuen Fenster)
Informatiker / Bioinformatiker / Wirtschaftsinformatiker als Business Analyst Application Development (m/w/d) DKMS Group gGmbH, Berlin,Köln,Tübingen (öffnet im neuen Fenster)
Werksstudent oder Praktikant (m/w/d) für das Projekt S/4 HANA-Einführung Hochtaunuskreis Der Kreisausschuss Der Landrat, Bad Homburg vor der Höhe (öffnet im neuen Fenster)
Spezialist Vertriebsentwicklung und Omnikanalmanagement (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)
IT Support Specialist (m/w/d) DAL Deutsche Afrika-Linien GmbH & Co. KG, Hamburg (öffnet im neuen Fenster)

Da die Zip-Datei aber vor der Signaturprüfung entpackt wird, sei es über relative Pfadangaben möglich, aus dem temporären Verzeichnis auszubrechen und somit beliebige Dateien ins Dateisystem zu schreiben und zu überschreiben, so Schejbal.

Nach Ansicht von Schejbal ist der Fehler für die Entwickler der AusweisApp leicht zu korrigieren.

Zur Startseite 38 Kommentare

Relevante Themen

SoftwareToolsUnternehmenssoftwarePolitikSecuritySicherheitslückeDatensicherheitBMI