Abo
  • IT-Karriere:

Neuer Personalausweis

Phishingangriff auf PIN demonstriert

Die PIN des neuen Personalausweises lässt sich auch ohne Malware leicht stehlen, meint Jan Schejbal und zeigt einen einfachen Angriff. Nach einem Hinweis Schejbals auf eine Sicherheitslücke in der Updatefunktion der AusweisApp war diese zuvor zurückgezogen worden.

Artikel veröffentlicht am ,
Neuer Personalausweis: Phishingangriff auf PIN demonstriert

Schejbal zeigt unter fsk18.piratenpartei.de einen Weg, um an die Ausweis-PIN eines Nutzers zu gelangen. Er nutzt keine technische Schwachstelle, sondern setzt auf einen sorglosen Umgang der Nutzer mit ihrer Software.

Stellenmarkt
  1. Universitätsklinikum Münster, Münster
  2. 3Tec automation GmbH u. Co. KG, Herford, Bielefeld

Die Website verspricht, eine Altersprüfung vorzunehmen und fordert dazu auf, einem Link zu folgen. Dieser zeigt dann im Browserfenster eine Grafik an, mit der vorgetäuscht wird, dass die AusweisApp geöffnet worden ist. Der Nutzer wird zur Eingabe seiner PIN aufgefordert. Da die Eingabe in ein Webformular erfolgt, das lediglich aussieht wie die AusweisApp, erhält der Websitebetreiber Zugriff auf die PIN.

  • Phishing-Angriff auf den neuen Personalausweis (nPA)
  • Phishing-Angriff auf den neuen Personalausweis (nPA)
Phishing-Angriff auf den neuen Personalausweis (nPA)

Schejbals Angriff setzt also auf Phishing, die Sicherheitstechnik des neuen Personalausweises wird nicht ausgehebelt. Dabei sollte nicht vergessen werden, dass eine der größten Schwachstellen in solchen Sicherheitssystem eben vor dem Bildschirm sitzt.

Die AusweisApp-Simulation von Schejbal ist recht primitiv und soll nur die Gefahr aufzeigen. So lässt sich das angezeigte Fenster der AusweisApp nicht verschieben, was Nutzer stutzig machen sollte. Denkbar wäre aber durchaus, mit Javascript dafür zu sorgen, dass das vermeintliche Applikationsfenster zumindest innerhalb des Browserfensters verschiebbar ist. Auch ließe sich die Optik anhand der Browserkennung an des jeweilige Betriebssystem anpassen. Und auch eine Bildschirmtastatur ließe sich simulieren, so Schejbal.

"Bei unvorsichtigen Nutzern könnte dieser Angriff selbst dann funktionieren, wenn der Nutzer ein Lesegerät der höheren Sicherheitsstufe hat, bei denen man die PIN normalerweise über das Lesegerät eingibt. Eigentlich sollte es dem Nutzer auffallen, wenn er die PIN plötzlich am Rechner eingeben soll - aber wie viele Nutzer, die von den Sicherheitskonzepten keine Ahnung haben, werden die PIN trotzdem über die Computertastatur eingeben, wenn der Computer sie dazu auffordert und die Eingabe über das Lesegerät nicht akzeptiert?", fragt Schejbal.

Darüber hinaus signalisiert die AusweisApp, wenn sie bei aufgelegtem Ausweis aktiv ist. Dann wechselt das in der Taskleiste angezeigte Chipsymbol von grün zu blau. Auch daran wäre der Angriff leicht als solcher zu erkennen, sagt Schejbal.

Um die Identität des Ausweisbesitzers zu missbrauchen, reicht die PIN unterdessen nicht aus. Auf dem Chaos Communication Congress Ende 2010 (27C3) zeigten allerdings Frank Morgner und Dominik Oepen, was sich mit einer PIN anstellen lässt.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-79%) 8,50€
  3. 26,99€

Tatsachen... 21. Jan 2011

o.k. Jungs, jetzt mal nachgedacht. Kann man so nicht heute schon jedes Passwort oder...

Spackenfinder 18. Jan 2011

Na dann hab ich Neuigkeiten für dich : dein fiktives Bankfach kann aucg geknackt werden...

serious business 18. Jan 2011

Die Werbung macht die Piratenpartei selbst indem sie sich für dieses Thema stark macht...

Kftzz 17. Jan 2011

I love Apple!!! Laura S.

Dany In Vitro 17. Jan 2011

Ergo kein Online-Banking mehr, keine EC und Kreditkarten, keine Überweisungsformulare...


Folgen Sie uns
       


Seasonic TX-700 Fanless und The First - Hands on (Computex 2019)

Das Prime TX-700 Fanless vo Seasonic ist das derzeit stärkste passiv gekühlte Netzteil am Markt. Die kompaktere Variante namens PX-500 wiederum passt in das The First von Monsterlabo, ein Gehäuse, um 200-Watt-Komponenten passiv zu kühlen.

Seasonic TX-700 Fanless und The First - Hands on (Computex 2019) Video aufrufen
Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

Dark Mode: Wann Schwarz-Weiß-Denken weiterhilft
Dark Mode
Wann Schwarz-Weiß-Denken weiterhilft

Viele Nutzer und auch Apple versprechen sich vom Dark Mode eine augenschonendere Darstellung von Bildinhalten. Doch die Funktion bringt andere Vorteile als viele denken - und sogar Nachteile, die bereits bekannte Probleme bei der Arbeit am Bildschirm noch verstärken.
Von Mike Wobker

  1. Sicherheitsprobleme Schlechte Passwörter bei Ärzten
  2. DrEd Online-Arztpraxis Zava will auch in Deutschland eröffnen
  3. Vivy & Co. Gesundheitsapps kranken an der Sicherheit

Projektmanagement: An der falschen Stelle automatisiert
Projektmanagement
An der falschen Stelle automatisiert

Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
Ein Erfahrungsbericht von Marvin Engel


      •  /