Neuer Personalausweis

Phishingangriff auf PIN demonstriert

Die PIN des neuen Personalausweises lässt sich auch ohne Malware leicht stehlen, meint Jan Schejbal und zeigt einen einfachen Angriff. Nach einem Hinweis Schejbals auf eine Sicherheitslücke in der Updatefunktion der AusweisApp war diese zuvor zurückgezogen worden.

Artikel veröffentlicht am ,
Neuer Personalausweis: Phishingangriff auf PIN demonstriert

Schejbal zeigt unter fsk18.piratenpartei.de einen Weg, um an die Ausweis-PIN eines Nutzers zu gelangen. Er nutzt keine technische Schwachstelle, sondern setzt auf einen sorglosen Umgang der Nutzer mit ihrer Software.

Die Website verspricht, eine Altersprüfung vorzunehmen und fordert dazu auf, einem Link zu folgen. Dieser zeigt dann im Browserfenster eine Grafik an, mit der vorgetäuscht wird, dass die AusweisApp geöffnet worden ist. Der Nutzer wird zur Eingabe seiner PIN aufgefordert. Da die Eingabe in ein Webformular erfolgt, das lediglich aussieht wie die AusweisApp, erhält der Websitebetreiber Zugriff auf die PIN.

  • Phishing-Angriff auf den neuen Personalausweis (nPA)
  • Phishing-Angriff auf den neuen Personalausweis (nPA)
Phishing-Angriff auf den neuen Personalausweis (nPA)

Schejbals Angriff setzt also auf Phishing, die Sicherheitstechnik des neuen Personalausweises wird nicht ausgehebelt. Dabei sollte nicht vergessen werden, dass eine der größten Schwachstellen in solchen Sicherheitssystem eben vor dem Bildschirm sitzt.

Die AusweisApp-Simulation von Schejbal ist recht primitiv und soll nur die Gefahr aufzeigen. So lässt sich das angezeigte Fenster der AusweisApp nicht verschieben, was Nutzer stutzig machen sollte. Denkbar wäre aber durchaus, mit Javascript dafür zu sorgen, dass das vermeintliche Applikationsfenster zumindest innerhalb des Browserfensters verschiebbar ist. Auch ließe sich die Optik anhand der Browserkennung an des jeweilige Betriebssystem anpassen. Und auch eine Bildschirmtastatur ließe sich simulieren, so Schejbal.

"Bei unvorsichtigen Nutzern könnte dieser Angriff selbst dann funktionieren, wenn der Nutzer ein Lesegerät der höheren Sicherheitsstufe hat, bei denen man die PIN normalerweise über das Lesegerät eingibt. Eigentlich sollte es dem Nutzer auffallen, wenn er die PIN plötzlich am Rechner eingeben soll - aber wie viele Nutzer, die von den Sicherheitskonzepten keine Ahnung haben, werden die PIN trotzdem über die Computertastatur eingeben, wenn der Computer sie dazu auffordert und die Eingabe über das Lesegerät nicht akzeptiert?", fragt Schejbal.

Darüber hinaus signalisiert die AusweisApp, wenn sie bei aufgelegtem Ausweis aktiv ist. Dann wechselt das in der Taskleiste angezeigte Chipsymbol von grün zu blau. Auch daran wäre der Angriff leicht als solcher zu erkennen, sagt Schejbal.

Um die Identität des Ausweisbesitzers zu missbrauchen, reicht die PIN unterdessen nicht aus. Auf dem Chaos Communication Congress Ende 2010 (27C3) zeigten allerdings Frank Morgner und Dominik Oepen, was sich mit einer PIN anstellen lässt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
Neuer Personalausweis
Die AusweisApp ist zurück
Neuer Personalausweis
Weitere Angriffe gegen den nPA
Neuer Personalausweis
BSI will überarbeitete AusweisApp im Januar bereitstellen
Meistgelesen
artikel-bild
Blizzard
Preise im Itemshop von Diablo 4 entfachen Empörung
artikel-bild
Generative Fill
Wie Adobes KI-Funktionen das Internet spalten
artikel-bild
Schufa-Score
Hohes Bußgeld wegen Kreditkartenablehnung ohne Begründung
Kommentarübersicht
Re: In DE sicherlcih 98%
Tatsachen... 21. Jan 2011

o.k. Jungs, jetzt mal nachgedacht. Kann man so nicht heute schon jedes Passwort oder...

Re: IT News für Einsteiger?
Spackenfinder 18. Jan 2011

Na dann hab ich Neuigkeiten für dich : dein fiktives Bankfach kann aucg geknackt werden...

Re: Geht das auch ohne "Piratenpartei"?
serious business 18. Jan 2011

Die Werbung macht die Piratenpartei selbst indem sie sich für dieses Thema stark macht...

Re: AusweisApp..??
Kftzz 17. Jan 2011

I love Apple!!! Laura S.

Aktuell auf der Startseite von Golem.de
Forschung oder Ölbohrung?
China gräbt ein zehn Kilometer tiefes Loch

Die Bohrung im Westen Chinas soll dazu dienen, mehr über das Innere des Planeten herauszufinden - oder doch dazu, um nach Öl zu suchen?

Forschung oder Ölbohrung?: China gräbt ein zehn Kilometer tiefes Loch
Artikel
  1. Gigafactory: Berlin besorgt um Wasser wegen Tesla-Fabrik
    Gigafactory
    Berlin besorgt um Wasser wegen Tesla-Fabrik

    Die Prüfungen der Tesla-Gigafactory betrachteten den Klimawandel nicht und angrenzende Gebiete zu wenig, sagen die Berliner Wasserbetriebe.

  2. Ticwatch Pro 5 im Test: Smartwatch mit zwei Displays hält lange durch
    Ticwatch Pro 5 im Test
    Smartwatch mit zwei Displays hält lange durch

    Mobvois neue Smartwatch überzeugt mit einer guten Akkulaufzeit und einem cleveren Always-On-Display, das wie eine Digitaluhr Flüssigkristalle verwendet.
    Ein Test von Tobias Költzsch

  3. Blizzard: Preise im Itemshop von Diablo 4 entfachen Empörung
    Blizzard
    Preise im Itemshop von Diablo 4 entfachen Empörung

    Die Community reagiert sauer auf Leaks über die Preise im Itemshop von Diablo 4. Ein Rüstungsset kostet fast so viel wie früher ein Add-on.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Tiefstpreise: AMD Ryzen 9 7900X3D 534€, KFA2 RTX 3060 Ti 329,99€, Kingston Fury SSD 2TB (PS5-komp.) 129,91€ • Sony Days of Play: PS5-Spiele & Zubehör bis -70% • Roccat PC-Zubehör bis -50% • AVM Modems & Repeater bis -36% • Sony Deals Week [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /