Abo
  • Services:
Anzeige
Jan Schejbal präsentiert eine Sicherheitslücke im ePerso.
Jan Schejbal präsentiert eine Sicherheitslücke im ePerso. (Bild: Jan Schejbal/Screenshot von Golem.de)

Ausweismissbrauch möglich

Weitere Sicherheitslücke beim ePerso

Jan Schejbal präsentiert eine Sicherheitslücke im ePerso.
Jan Schejbal präsentiert eine Sicherheitslücke im ePerso. (Bild: Jan Schejbal/Screenshot von Golem.de)

Jan Schejbal hat erneut auf eine Sicherheitslücke beim elektronischen Personalausweis aufmerksam gemacht. Betrüger können über Webseiten Zugriff auf den ePerso erlangen und sich damit bei anderen Webseiten ausweisen, heißt es.

Das Piratenpartei-Mitglied Jan Schejbal hat herausgefunden, wie sich ein Angreifer im Internet mit dem elektronischen Personalausweis (ePerso) eines Opfers ausweisen und ihn für betrügerische Aktivitäten nutzen kann. Der Angreifer nutzt dabei eine präparierte Webseite, um über eine gefälschte AusweisApp an die PIN eines ePersos zu gelangen und mit Hilfe eines Lesegerätes auch an den ePerso selbst.

Anzeige
 
Video: Demo Angriff auf den ePerso über OWOK

Schejbal setzt bei seinem Angriff auf eine Funktion des Browser-Plugins "OWOK", das Webseiten den Zugriff auf Kartenlesegeräte ermöglicht. "Das Plugin gehört zu einem der sogenannten "Starter-Kits", mit denen zu Beginn des ePerso-Projekts unsichere Basislesegeräte mit Steuergeldern subventioniert unter die Bevölkerung gebracht wurden", so Jan Schejbal. "Ich gehe aber davon aus, dass auch andere Plugins betroffen sind."

Es sei "keine gute Idee und ziemlich unnötig", Webseiten uneingeschränkten Low-Level-Zugriff auf Chipkarten zu geben. Als Hauptproblem sieht er jedoch die "die bescheuerte Idee, für eine derart sicherheitsrelevante Anwendung unsichere Lesegeräte (Basisleser/Klasse-1-Leser)" zu verwenden und dies auch noch zu fördern.

Die technischen Details sowie eine Videodemonstration eines Angriffs hat Jan Schejbal in seinem Blog veröffentlicht. Für die Angriffsmethode müssen ein Lesegerät, das OWOK-Plugin sowie eine kompatible Karte vorhanden sein, aber ein Ausweis ist nicht unbedingt nötig.

Schejbal hatte bereits im November 2010, kurz nach Einführung des ePersos, die Unsicherheit der dazugehörigen AusweisApp gezeigt. Im Januar 2011 zeigte er, wie Angreifer die PIN des neuen Personalausweises ausspähen können. Da neben der PIN noch der Zugriff auf den Ausweis nötig ist, konnte durch diese Lücke allein der Ausweis noch nicht missbraucht werden. Das hat sich laut Schejbal nun geändert.


eye home zur Startseite
Trollversteher 09. Aug 2011

"Träume erfühlen"? Ist das eine Therapietechnik oder lernt man das auf der Waldorfschule? ;)

Geist 09. Aug 2011

Wenn internetausdrucker sich mit Technik versuchen :( Oder ist da wieder irgendein...



Anzeige

Stellenmarkt
  1. Bertrandt Technikum GmbH, Ehningen bei Stuttgart
  2. Daimler AG, Neu-Ulm oder Mannheim
  3. Wilken Neutrasoft GmbH, Greven bei Münster/Westfalen
  4. H-O-T Härte- und Oberflächentechnik GmbH & Co. KG, Nürnberg


Anzeige
Spiele-Angebote
  1. 17,99€
  2. (-8%) 45,99€
  3. (-55%) 26,99€

Folgen Sie uns
       


  1. Augmented Reality

    Google stellt Project Tango ein

  2. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  3. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  4. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

  5. Antec P110 Silent

    Gedämmter Midi-Tower hat austauschbare Staubfilter

  6. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung

  7. Spielebranche

    WW 2 und Battlefront 2 gewinnen im November-Kaufrausch

  8. Bauern

    Deutlich über 80 Prozent wollen FTTH

  9. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  10. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich

Kilopower: Ein Kernreaktor für Raumsonden
Kilopower
Ein Kernreaktor für Raumsonden
  1. Raumfahrt Nasa zündet Voyager-Triebwerke nach 37 Jahren
  2. Bake in Space Bloß keine Krümel auf der ISS
  3. Raumfahrtpionier Der Mann, der lange vor SpaceX günstige Raketen entwickelte

Kingdom Come Deliverance angespielt: Und täglich grüßt das Mittelalter
Kingdom Come Deliverance angespielt
Und täglich grüßt das Mittelalter

  1. Re: Bandbreite statt Datenvolumen

    sofries | 16:06

  2. Re: Hass und Angst ausnutzen

    Schnarchnase | 16:06

  3. Re: Das Netz ist nicht neutral..

    pizuzz | 16:05

  4. Re: gut erkannt, aber die Gefahr nicht verbannt

    ThomasEnzinger | 16:02

  5. Re: Kein 5,25"-Schacht => kein Kauf!

    DetlevCM | 16:01


  1. 12:47

  2. 11:39

  3. 09:03

  4. 17:47

  5. 17:38

  6. 16:17

  7. 15:50

  8. 15:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel