Ausweismissbrauch möglich

Weitere Sicherheitslücke beim ePerso

Jan Schejbal hat erneut auf eine Sicherheitslücke beim elektronischen Personalausweis aufmerksam gemacht. Betrüger können über Webseiten Zugriff auf den ePerso erlangen und sich damit bei anderen Webseiten ausweisen, heißt es.

Artikel veröffentlicht am ,
Jan Schejbal präsentiert eine Sicherheitslücke im ePerso.
Jan Schejbal präsentiert eine Sicherheitslücke im ePerso. (Bild: Jan Schejbal/Screenshot von Golem.de)

Das Piratenpartei-Mitglied Jan Schejbal hat herausgefunden, wie sich ein Angreifer im Internet mit dem elektronischen Personalausweis (ePerso) eines Opfers ausweisen und ihn für betrügerische Aktivitäten nutzen kann. Der Angreifer nutzt dabei eine präparierte Webseite, um über eine gefälschte AusweisApp an die PIN eines ePersos zu gelangen und mit Hilfe eines Lesegerätes auch an den ePerso selbst.

 
Video: Demo Angriff auf den ePerso über OWOK

Stellenmarkt
  1. SAP-Anwendungsbetreuer (m/w/d) Module FI/CO und HCM
    rose plastic AG, Hergensweiler bei Lindau
  2. Softwareentwickler (m/w/d)
    M-IT Lösungen GmbH, Martinsried
Detailsuche

Schejbal setzt bei seinem Angriff auf eine Funktion des Browser-Plugins "OWOK", das Webseiten den Zugriff auf Kartenlesegeräte ermöglicht. "Das Plugin gehört zu einem der sogenannten "Starter-Kits", mit denen zu Beginn des ePerso-Projekts unsichere Basislesegeräte mit Steuergeldern subventioniert unter die Bevölkerung gebracht wurden", so Jan Schejbal. "Ich gehe aber davon aus, dass auch andere Plugins betroffen sind."

Es sei "keine gute Idee und ziemlich unnötig", Webseiten uneingeschränkten Low-Level-Zugriff auf Chipkarten zu geben. Als Hauptproblem sieht er jedoch die "die bescheuerte Idee, für eine derart sicherheitsrelevante Anwendung unsichere Lesegeräte (Basisleser/Klasse-1-Leser)" zu verwenden und dies auch noch zu fördern.

Die technischen Details sowie eine Videodemonstration eines Angriffs hat Jan Schejbal in seinem Blog veröffentlicht. Für die Angriffsmethode müssen ein Lesegerät, das OWOK-Plugin sowie eine kompatible Karte vorhanden sein, aber ein Ausweis ist nicht unbedingt nötig.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
Weitere IT-Trainings

Schejbal hatte bereits im November 2010, kurz nach Einführung des ePersos, die Unsicherheit der dazugehörigen AusweisApp gezeigt. Im Januar 2011 zeigte er, wie Angreifer die PIN des neuen Personalausweises ausspähen können. Da neben der PIN noch der Zugriff auf den Ausweis nötig ist, konnte durch diese Lücke allein der Ausweis noch nicht missbraucht werden. Das hat sich laut Schejbal nun geändert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Nachfolger von Windows 10
Dinge, die es in Windows 11 nicht mehr geben wird

Bei Windows 11 kommt viel Neues hinzu, auf der anderen Seite entfernt Microsoft eine Menge Ballast - eine Übersicht.
Von Oliver Nickel

Nachfolger von Windows 10: Dinge, die es in Windows 11 nicht mehr geben wird
Artikel
  1. Smartphones, Tablets und Co.: Bundestag beschließt Update-Pflicht
    Smartphones, Tablets und Co.
    Bundestag beschließt Update-Pflicht

    Elektronische Geräte müssen künftig verpflichtend aktualisiert werden - das Gleiche gilt auch für Apps.

  2. Crackonosh: Hacker verstecken Mining-Malware in illegalen Spielekopien
    Crackonosh
    Hacker verstecken Mining-Malware in illegalen Spielekopien

    Experten melden die massenweise Verbreitung von Mining-Malware über illegal kopierte Spiele. Crackonosh bringt den Kriminellen demnach Millionen ein.

  3. Logistik: Hamburger Hafen testet autonom fahrenden Lkw
    Logistik
    Hamburger Hafen testet autonom fahrenden Lkw

    Wie werden Container angemessen zu einem automatisierten Hafenterminal angeliefert? Von einem autonom fahrenden Lkw.

Trollversteher 09. Aug 2011

"Träume erfühlen"? Ist das eine Therapietechnik oder lernt man das auf der Waldorfschule? ;)

Geist 09. Aug 2011

Wenn internetausdrucker sich mit Technik versuchen :( Oder ist da wieder irgendein...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate: Ryzen 7 5800 X 359€, Ryzen 5 5600 X 249€ • Gigabyte Z490M 119,90€ • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Trust Gaming Audio-Zubehör • Kaspersky Flash Sale: 60% Rabatt auf Security-Programme [Werbung]
    •  /