Neuer Personalausweis: Phishingangriff auf PIN demonstriert

Die PIN des neuen Personalausweises lässt sich auch ohne Malware leicht stehlen, meint Jan Schejbal und zeigt einen einfachen Angriff. Nach einem Hinweis Schejbals auf eine Sicherheitslücke in der Updatefunktion der AusweisApp war diese zuvor zurückgezogen worden.

17. Januar 2011 um 12:05 Uhr / Jens Ihlenfeld

72 Kommentare News folgen (öffnet im neuen Fenster)

Schejbal zeigt unter fsk18.piratenpartei.de(öffnet im neuen Fenster) einen Weg, um an die Ausweis-PIN eines Nutzers zu gelangen. Er nutzt keine technische Schwachstelle, sondern setzt auf einen sorglosen Umgang der Nutzer mit ihrer Software.

Die Website verspricht, eine Altersprüfung vorzunehmen und fordert dazu auf, einem Link zu folgen. Dieser zeigt dann im Browserfenster eine Grafik an, mit der vorgetäuscht wird, dass die AusweisApp geöffnet worden ist. Der Nutzer wird zur Eingabe seiner PIN aufgefordert. Da die Eingabe in ein Webformular erfolgt, das lediglich aussieht wie die AusweisApp, erhält der Websitebetreiber Zugriff auf die PIN.

Bild 1/2: Phishing-Angriff auf den neuen Personalausweis (nPA)

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Expertin / Experte IT-Lösungsdesign mit dem Schwerpunkt Innovation Lab (w/m/d) Bundesanstalt für Immobilienaufgaben, Berlin (öffnet im neuen Fenster)

Financial Controller*in (m/w/d) Gasunie Deutschland Transport Services GmbH, Hannover (öffnet im neuen Fenster)

Cyber Security Engineer (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

Anwendungsentwickler*in (m/w/div) Deutsche Rentenversicherung Bund, Berlin (öffnet im neuen Fenster)

Werkstudent/-in Datenanalyse (m/w/d) Landeshauptstadt Stuttgart, Stuttgart (öffnet im neuen Fenster)

IT Security Engineer (m/w/d) Wortmann KG Internationale Schuhproduktionen, Detmold (öffnet im neuen Fenster)

Referent für Prozessmanagement in der Betriebsorganisation (m/w/d) Kreissparkasse Ravensburg, Ravensburg (öffnet im neuen Fenster)

Agile Manager / Scrum Master (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

Schejbals Angriff(öffnet im neuen Fenster) setzt also auf Phishing, die Sicherheitstechnik des neuen Personalausweises wird nicht ausgehebelt. Dabei sollte nicht vergessen werden, dass eine der größten Schwachstellen in solchen Sicherheitssystem eben vor dem Bildschirm sitzt.

Die AusweisApp-Simulation von Schejbal ist recht primitiv und soll nur die Gefahr aufzeigen. So lässt sich das angezeigte Fenster der AusweisApp nicht verschieben, was Nutzer stutzig machen sollte. Denkbar wäre aber durchaus, mit Javascript dafür zu sorgen, dass das vermeintliche Applikationsfenster zumindest innerhalb des Browserfensters verschiebbar ist. Auch ließe sich die Optik anhand der Browserkennung an des jeweilige Betriebssystem anpassen. Und auch eine Bildschirmtastatur ließe sich simulieren, so Schejbal.

"Bei unvorsichtigen Nutzern könnte dieser Angriff selbst dann funktionieren, wenn der Nutzer ein Lesegerät der höheren Sicherheitsstufe hat, bei denen man die PIN normalerweise über das Lesegerät eingibt. Eigentlich sollte es dem Nutzer auffallen, wenn er die PIN plötzlich am Rechner eingeben soll – aber wie viele Nutzer, die von den Sicherheitskonzepten keine Ahnung haben, werden die PIN trotzdem über die Computertastatur eingeben, wenn der Computer sie dazu auffordert und die Eingabe über das Lesegerät nicht akzeptiert?" , fragt Schejbal.

Darüber hinaus signalisiert die AusweisApp, wenn sie bei aufgelegtem Ausweis aktiv ist. Dann wechselt das in der Taskleiste angezeigte Chipsymbol von grün zu blau. Auch daran wäre der Angriff leicht als solcher zu erkennen, sagt Schejbal.

Um die Identität des Ausweisbesitzers zu missbrauchen, reicht die PIN unterdessen nicht aus. Auf dem Chaos Communication Congress Ende 2010 (27C3) zeigten allerdings Frank Morgner und Dominik Oepen , was sich mit einer PIN anstellen lässt.

Zur Startseite 72 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen