• IT-Karriere:
  • Services:

Governikus: Personalausweis-Webanwendungen lassen sich austricksen

Mit einem relativ simplen Trick lässt sich die Authentifizierung von Webanwendungen mit dem elektronischen Personalausweis austricksen. Der Hersteller Governikus behauptet, dass dies in realen Anwendungen nicht funktioniert, kann aber nicht erklären, warum.

Artikel veröffentlicht am , Hanno Böck
Kaum genutzt und trotzdem unsicher: die Onlinefunktion des elektronischen Personalausweises
Kaum genutzt und trotzdem unsicher: die Onlinefunktion des elektronischen Personalausweises (Bild: Personalausweisportal.de/BSI)

Die Firma SEC Consult hat in einer Bibliothek für den elektronischen Personalausweis eine Sicherheitslücke gefunden. Das sogenannte Autent SDK der Firma Governikus erlaubt es, die Signaturprüfung auszutricksen.

Inhalt:
  1. Governikus: Personalausweis-Webanwendungen lassen sich austricksen
  2. Unerklärbare Sicherheitsmaßnahmen verhindern angeblich Angriff

Der elektronische Personalausweis in Deutschland erlaubt es Nutzern, mittels eines darauf vorhandenen RFID-Chips sich gegenüber Webanwendungen zu authentifizieren. Dafür benötigt der Nutzer einen passenden Kartenleser und eine Client-Software.

Signaturprüfung bei der einen, Datenauswertung bei der anderen Variablen

Die Software kommuniziert dabei mit einem vertrauenswürdigen Authentifizierungsserver, der anschließend eine entsprechende Anfrage signiert. Diese signierte Anfrage im SAML-Format wird anschließend an die jeweilige Webanwendung, die die Personalausweisfunktion nutzt, weitergeleitet und von dieser geprüft. Für solche Webanwendungen stellt die Firma Governikus eine in Java geschriebene Bibliothek bereit, das sogenannte Autent SDK.

Die Anfragen, die an die Webanwendung weitergeleitet werden, sind in der URL in einer GET-Variablen namens SAMLResponse codiert. Das Problem: Man kann diese Variable auch mehrfach in der URL angeben. Die Autent-Software prüft dann die Signatur der letzten in der URL übergebenen Variablen. Verarbeitet werden aber die Daten aus der ersten übergebenen Variablen.

Stellenmarkt
  1. JACKON Insulation GmbH, Arendsee
  2. Vodafone GmbH, Unterföhring

Das Ergebnis: Ein Angreifer kann eine beliebige, gültig signierte SAML-Anfrage verwenden und gleichzeitig eine nicht gültig signierte andere SAML-Anfrage mitschicken - und sich so beispielsweise als jemand anderes ausgeben. Es wird dabei auch nicht geprüft, ob die Anfrage vom richtigen Nutzer stammt.

Ein Angreifer kann sich also selbst vom Authentifizierungsserver eine gültige Signatur für irgendeine Anfrage geben lassen und dann im Namen einer anderen Person eine Aktion durchführen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Unerklärbare Sicherheitsmaßnahmen verhindern angeblich Angriff 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 599€ (Bestpreis mit Alternate. Vergleichspreis ab ca. 660€)
  2. (u. a. MSI Optix MAG272CRX für 299€ + 6,99€ Versand statt ca. 450€ im Vergleich und Corsair...
  3. (u. a. The Crew 2 für 10,49€, Mount & Blade II - Bannerlord für 33,99€ und Mortal Kombat 11...
  4. (u. a. I See You, Broken City, Attraction & Attraction 2, Amundsen: Wettlauf zum Südpol, Coma, Red...

ImBackAlive 24. Nov 2018

Du machst deinem Namen alle Ehre.

ImBackAlive 24. Nov 2018

Die müssen erneuert werden - denn entgegen der landläufigen Meinung, unterliegt ein...

pommesmatte 22. Nov 2018

Nein, das wäre das einzig sinnvolle. Andere Länder machen das genau so und nur das...

zuschauer 22. Nov 2018

Guckst Du hier: https://de.wikipedia.org/wiki/Internetangriffe_auf_Estland_2007 Mehr...

Mingfu 22. Nov 2018

Also erst einmal wie schon geschrieben: Bei HTTPS wird auch die Anfrage-URL...


Folgen Sie uns
       


Golem.de baut die ISS aus Lego zusammen

Mit 864 Einzelteilen und rund 90 Minuten Bauzeit ist die Lego-ISS bei Weitem nicht so komplex wie ihr Vorbild.

Golem.de baut die ISS aus Lego zusammen Video aufrufen
Corona: Der Staat muss uns vor der Tracing-App schützen
Corona
Der Staat muss uns vor der Tracing-App schützen

Politiker wie Axel Voss fordern "Anreize" für die Nutzung der Corona-App. Doch das schafft nicht das notwendige Vertrauen in die staatliche Technik.
Ein Gastbeitrag von Stefan Brink und Clarissa Henning

  1. Schnittstelle installiert Android-Handys sind bereit für die Corona-Apps
  2. Corona-App Google und Apple stellen Bluetooth-API bereit
  3. Coronapandemie Quarantäne-App soll Gesundheitsämter entlasten

Realme X50 Pro im Test: Der Oneplus-Killer
Realme X50 Pro im Test
Der Oneplus-Killer

Oneplus bezeichnete sich einst als "Flagship-Killer", mittlerweile stellt sich die Frage, wer hier für wen gefährlich wird: Das X50 Pro des Schwesterunternehmens Realme ist ein wahrer "Oneplus-Killer".
Ein Test von Tobias Költzsch

  1. Astro Slide Neues 5G-Smartphone mit aufschiebbarer Tastatur
  2. Galaxy S20 Ultra im Test Samsung beherrscht den eigenen Kamerasensor nicht
  3. Red Magic 5G Neues 5G-Gaming-Smartphone kommt mit 144-Hz-Display

Maneater im Test: Bissiger Blödsinn
Maneater im Test
Bissiger Blödsinn

Wer schon immer als Bullenhai auf Menschenjagd gehen wollte - hier entlang schwimmen bitte. Maneater legt aber auch die Flosse in die Wunde.
Ein Test von Marc Sauter

  1. Mount and Blade 2 angespielt Der König ist tot, lang lebe der Bannerlord
  2. Arkade Blaster 3D-Shooter mit der Plastikkanone spielen
  3. Wolcen im Test Düster, lootig, wuchtig!

    •  /