• IT-Karriere:
  • Services:

Ausweismissbrauch möglich

Weitere Sicherheitslücke beim ePerso

Jan Schejbal hat erneut auf eine Sicherheitslücke beim elektronischen Personalausweis aufmerksam gemacht. Betrüger können über Webseiten Zugriff auf den ePerso erlangen und sich damit bei anderen Webseiten ausweisen, heißt es.

Artikel veröffentlicht am ,
Jan Schejbal präsentiert eine Sicherheitslücke im ePerso.
Jan Schejbal präsentiert eine Sicherheitslücke im ePerso. (Bild: Jan Schejbal/Screenshot von Golem.de)

Das Piratenpartei-Mitglied Jan Schejbal hat herausgefunden, wie sich ein Angreifer im Internet mit dem elektronischen Personalausweis (ePerso) eines Opfers ausweisen und ihn für betrügerische Aktivitäten nutzen kann. Der Angreifer nutzt dabei eine präparierte Webseite, um über eine gefälschte AusweisApp an die PIN eines ePersos zu gelangen und mit Hilfe eines Lesegerätes auch an den ePerso selbst.

 
Video: Demo Angriff auf den ePerso über OWOK

Stellenmarkt
  1. Lebensversicherung von 1871 a. G. München, München
  2. m3connect GmbH, Hamburg, München, Berlin

Schejbal setzt bei seinem Angriff auf eine Funktion des Browser-Plugins "OWOK", das Webseiten den Zugriff auf Kartenlesegeräte ermöglicht. "Das Plugin gehört zu einem der sogenannten "Starter-Kits", mit denen zu Beginn des ePerso-Projekts unsichere Basislesegeräte mit Steuergeldern subventioniert unter die Bevölkerung gebracht wurden", so Jan Schejbal. "Ich gehe aber davon aus, dass auch andere Plugins betroffen sind."

Es sei "keine gute Idee und ziemlich unnötig", Webseiten uneingeschränkten Low-Level-Zugriff auf Chipkarten zu geben. Als Hauptproblem sieht er jedoch die "die bescheuerte Idee, für eine derart sicherheitsrelevante Anwendung unsichere Lesegeräte (Basisleser/Klasse-1-Leser)" zu verwenden und dies auch noch zu fördern.

Die technischen Details sowie eine Videodemonstration eines Angriffs hat Jan Schejbal in seinem Blog veröffentlicht. Für die Angriffsmethode müssen ein Lesegerät, das OWOK-Plugin sowie eine kompatible Karte vorhanden sein, aber ein Ausweis ist nicht unbedingt nötig.

Schejbal hatte bereits im November 2010, kurz nach Einführung des ePersos, die Unsicherheit der dazugehörigen AusweisApp gezeigt. Im Januar 2011 zeigte er, wie Angreifer die PIN des neuen Personalausweises ausspähen können. Da neben der PIN noch der Zugriff auf den Ausweis nötig ist, konnte durch diese Lücke allein der Ausweis noch nicht missbraucht werden. Das hat sich laut Schejbal nun geändert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. mit 1.629€ Tiefpreis auf Geizhals
  2. (u. a. Asus ROG STRIX B550-I Gaming Mainboard für 169,90€, Alpenföhn Brocken 3 Black Edition...
  3. (u. a. Xbox Games Sale: bis zu 50 Prozent Rabatt auf Xbox-Spiele, bis zu 481,49€ Rabatt auf...
  4. 45€ monatlich, keine Aktivierungsgebühr (nach einem Jahr monatlich kündbar)

Trollversteher 09. Aug 2011

"Träume erfühlen"? Ist das eine Therapietechnik oder lernt man das auf der Waldorfschule? ;)

Geist 09. Aug 2011

Wenn internetausdrucker sich mit Technik versuchen :( Oder ist da wieder irgendein...


Folgen Sie uns
       


Geforce RTX 3070 - Test

Die Grafikkarte liegt etwa gleichauf mit der Geforce RTX 2080 Ti.

Geforce RTX 3070 - Test Video aufrufen
iPhone 12 Pro Max im Test: Das Display macht den Hauptunterschied
iPhone 12 Pro Max im Test
Das Display macht den Hauptunterschied

Das iPhone 12 Pro Max ist größer als das 12 Pro und hat eine etwas bessere Kamera - grundsätzlich liegen die beiden Topmodelle von Apple aber nah beieinander, wie unser Test zeigt. Käufer des iPhone 12 Pro müssen keine Angst haben, etwas zu verpassen.
Ein Test von Tobias Költzsch

  1. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  2. iPhone Magsafe ist nicht gleich Magsafe
  3. Displayprobleme Grünstich beim iPhone 12 aufgetaucht

Energie- und Verkehrswende: Klimaneutrales Fliegen in weiter Ferne
Energie- und Verkehrswende
Klimaneutrales Fliegen in weiter Ferne

Wasserstoff-Flugzeuge und E-Fuels könnten den Flugverkehr klimafreundlicher machen, sie werden aber gigantische Mengen Strom benötigen.
Eine Recherche von Hanno Böck

  1. Luftfahrt Neuer Flughafen in Berlin ist eröffnet
  2. Luftfahrt Booms Überschallprototyp wird im Oktober enthüllt
  3. Flugzeuge CO2-neutral zu fliegen, reicht nicht

Logitech G Pro Superlight im Kurztest: Weniger Gramm um jeden Preis
Logitech G Pro Superlight im Kurztest
Weniger Gramm um jeden Preis

Man nehme das Gehäuse der Logitech G Pro Wireless und spare Gewicht ein, wo es geht. Voilá, fertig ist die Superlight. Ist das sinnvoll?

  1. Ergo M575 im Test Logitechs preiswerter Ergo-Trackball überzeugt
  2. MX Anywhere 3 im Test Logitechs flache Maus bietet viel Komfort
  3. MK295 Logitech macht preisgünstige Tastatur-Maus-Kombo leiser

    •  /