Abo
  • Services:
Anzeige
Jan Schejbal präsentiert eine Sicherheitslücke im ePerso.
Jan Schejbal präsentiert eine Sicherheitslücke im ePerso. (Bild: Jan Schejbal/Screenshot von Golem.de)

Ausweismissbrauch möglich

Weitere Sicherheitslücke beim ePerso

Jan Schejbal präsentiert eine Sicherheitslücke im ePerso.
Jan Schejbal präsentiert eine Sicherheitslücke im ePerso. (Bild: Jan Schejbal/Screenshot von Golem.de)

Jan Schejbal hat erneut auf eine Sicherheitslücke beim elektronischen Personalausweis aufmerksam gemacht. Betrüger können über Webseiten Zugriff auf den ePerso erlangen und sich damit bei anderen Webseiten ausweisen, heißt es.

Das Piratenpartei-Mitglied Jan Schejbal hat herausgefunden, wie sich ein Angreifer im Internet mit dem elektronischen Personalausweis (ePerso) eines Opfers ausweisen und ihn für betrügerische Aktivitäten nutzen kann. Der Angreifer nutzt dabei eine präparierte Webseite, um über eine gefälschte AusweisApp an die PIN eines ePersos zu gelangen und mit Hilfe eines Lesegerätes auch an den ePerso selbst.

Anzeige
 
Video: Demo Angriff auf den ePerso über OWOK

Schejbal setzt bei seinem Angriff auf eine Funktion des Browser-Plugins "OWOK", das Webseiten den Zugriff auf Kartenlesegeräte ermöglicht. "Das Plugin gehört zu einem der sogenannten "Starter-Kits", mit denen zu Beginn des ePerso-Projekts unsichere Basislesegeräte mit Steuergeldern subventioniert unter die Bevölkerung gebracht wurden", so Jan Schejbal. "Ich gehe aber davon aus, dass auch andere Plugins betroffen sind."

Es sei "keine gute Idee und ziemlich unnötig", Webseiten uneingeschränkten Low-Level-Zugriff auf Chipkarten zu geben. Als Hauptproblem sieht er jedoch die "die bescheuerte Idee, für eine derart sicherheitsrelevante Anwendung unsichere Lesegeräte (Basisleser/Klasse-1-Leser)" zu verwenden und dies auch noch zu fördern.

Die technischen Details sowie eine Videodemonstration eines Angriffs hat Jan Schejbal in seinem Blog veröffentlicht. Für die Angriffsmethode müssen ein Lesegerät, das OWOK-Plugin sowie eine kompatible Karte vorhanden sein, aber ein Ausweis ist nicht unbedingt nötig.

Schejbal hatte bereits im November 2010, kurz nach Einführung des ePersos, die Unsicherheit der dazugehörigen AusweisApp gezeigt. Im Januar 2011 zeigte er, wie Angreifer die PIN des neuen Personalausweises ausspähen können. Da neben der PIN noch der Zugriff auf den Ausweis nötig ist, konnte durch diese Lücke allein der Ausweis noch nicht missbraucht werden. Das hat sich laut Schejbal nun geändert.


eye home zur Startseite
Trollversteher 09. Aug 2011

"Träume erfühlen"? Ist das eine Therapietechnik oder lernt man das auf der Waldorfschule? ;)

Geist 09. Aug 2011

Wenn internetausdrucker sich mit Technik versuchen :( Oder ist da wieder irgendein...



Anzeige

Stellenmarkt
  1. OSRAM GmbH, Regensburg
  2. LEONI Bordnetz-Systeme GmbH, Kitzingen
  3. Platinion GmbH, München
  4. Sky Deutschland GmbH, Unterföhring bei München


Anzeige
Blu-ray-Angebote
  1. 1 Monat für 1€
  2. 27,99€ (Vorbesteller-Preisgarantie)
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Datenbank

    Microsofts privater Bugtracker ist 2013 gehackt worden

  2. Windows 10

    Fall Creators Update wird von Microsoft offiziell verteilt

  3. Robert Bigelow

    Aufblasbare Raumstation um den Mond soll 2022 starten

  4. Axon M

    ZTE stellt Smartphone mit zwei klappbaren Displays vor

  5. Fortnite Battle Royale

    Epic Games verklagt Cheater auf 150.000 US-Dollar

  6. Microsoft

    Das Surface Book 2 kommt in zwei Größen

  7. Tichome Mini im Hands On

    Google-Home-Konkurrenz startet für 82 Euro

  8. Düsseldorf

    Telekom greift Glasfaserausbau von Vodafone an

  9. Microsoft

    Neue Firmware für Xbox One bietet mehr Übersicht

  10. Infrastrukturabgabe

    Kleinere deutsche Kabelnetzbetreiber wollen Geld von Netflix



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Science-Fiction wird real: Kampf der Robotergiganten
Science-Fiction wird real
Kampf der Robotergiganten
  1. Roboter Megabots kündigt Video vom Roboterkampf an
  2. IFR Zahl der verkauften Haushaltsroboter steigt stark an
  3. Automatisierung Südkorea erwägt eine Robotersteuer

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: Beleidigung generell?

    baldur | 00:35

  2. Re: leider etliche Funklöcher, wenn man mit RE1...

    devman | 00:21

  3. Re: Bei Display und Keyboard gibt's Workarounds

    Crossfire579 | 00:20

  4. Re: Warum zum Teufel wird jeder Laptop mit einem...

    zenker_bln | 00:18

  5. Re: VPN, VPN, VPN

    Isodome | 00:14


  1. 21:08

  2. 19:00

  3. 18:32

  4. 17:48

  5. 17:30

  6. 17:15

  7. 17:00

  8. 16:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel