Abo
  • Services:

Governikus: Personalausweis-Webanwendungen lassen sich austricksen

Mit einem relativ simplen Trick lässt sich die Authentifizierung von Webanwendungen mit dem elektronischen Personalausweis austricksen. Der Hersteller Governikus behauptet, dass dies in realen Anwendungen nicht funktioniert, kann aber nicht erklären, warum.

Artikel veröffentlicht am , Hanno Böck
Kaum genutzt und trotzdem unsicher: die Onlinefunktion des elektronischen Personalausweises
Kaum genutzt und trotzdem unsicher: die Onlinefunktion des elektronischen Personalausweises (Bild: Personalausweisportal.de/BSI)

Die Firma SEC Consult hat in einer Bibliothek für den elektronischen Personalausweis eine Sicherheitslücke gefunden. Das sogenannte Autent SDK der Firma Governikus erlaubt es, die Signaturprüfung auszutricksen.

Inhalt:
  1. Governikus: Personalausweis-Webanwendungen lassen sich austricksen
  2. Unerklärbare Sicherheitsmaßnahmen verhindern angeblich Angriff

Der elektronische Personalausweis in Deutschland erlaubt es Nutzern, mittels eines darauf vorhandenen RFID-Chips sich gegenüber Webanwendungen zu authentifizieren. Dafür benötigt der Nutzer einen passenden Kartenleser und eine Client-Software.

Signaturprüfung bei der einen, Datenauswertung bei der anderen Variablen

Die Software kommuniziert dabei mit einem vertrauenswürdigen Authentifizierungsserver, der anschließend eine entsprechende Anfrage signiert. Diese signierte Anfrage im SAML-Format wird anschließend an die jeweilige Webanwendung, die die Personalausweisfunktion nutzt, weitergeleitet und von dieser geprüft. Für solche Webanwendungen stellt die Firma Governikus eine in Java geschriebene Bibliothek bereit, das sogenannte Autent SDK.

Die Anfragen, die an die Webanwendung weitergeleitet werden, sind in der URL in einer GET-Variablen namens SAMLResponse codiert. Das Problem: Man kann diese Variable auch mehrfach in der URL angeben. Die Autent-Software prüft dann die Signatur der letzten in der URL übergebenen Variablen. Verarbeitet werden aber die Daten aus der ersten übergebenen Variablen.

Stellenmarkt
  1. TeamBank AG, Nürnberg
  2. GK Software SE, Sankt Ingbert, Köln, Schöneck

Das Ergebnis: Ein Angreifer kann eine beliebige, gültig signierte SAML-Anfrage verwenden und gleichzeitig eine nicht gültig signierte andere SAML-Anfrage mitschicken - und sich so beispielsweise als jemand anderes ausgeben. Es wird dabei auch nicht geprüft, ob die Anfrage vom richtigen Nutzer stammt.

Ein Angreifer kann sich also selbst vom Authentifizierungsserver eine gültige Signatur für irgendeine Anfrage geben lassen und dann im Namen einer anderen Person eine Aktion durchführen.

Unerklärbare Sicherheitsmaßnahmen verhindern angeblich Angriff 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 119,90€

ImBackAlive 24. Nov 2018 / Themenstart

Du machst deinem Namen alle Ehre.

ImBackAlive 24. Nov 2018 / Themenstart

Die müssen erneuert werden - denn entgegen der landläufigen Meinung, unterliegt ein...

pommesmatte 22. Nov 2018 / Themenstart

Nein, das wäre das einzig sinnvolle. Andere Länder machen das genau so und nur das...

zuschauer 22. Nov 2018 / Themenstart

Guckst Du hier: https://de.wikipedia.org/wiki/Internetangriffe_auf_Estland_2007 Mehr...

Mingfu 22. Nov 2018 / Themenstart

Also erst einmal wie schon geschrieben: Bei HTTPS wird auch die Anfrage-URL...

Kommentieren


Folgen Sie uns
       


Geforce RTX 2070 - Test

Wir haben uns zwei Geforce RTX 2070, eine von Asus und eine von MSI, angeschaut. Beide basieren auf einem TU106-Chip mit 2.304 Shader-Einheiten und einem 256-Bit-Interface mit GByte GDDR6-Speicher. Das Asus-Modell hat mehr Takt und ein höhere Power-Target sowie eine leicht bessere Ausstattung, die MSI-Karte ist mit 520 Euro statt 700 Euro aber günstiger. Beide Geforce RTX 2070 schlagen die Geforce GTX 1080 und Radeon RX Vega 64.

Geforce RTX 2070 - Test Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
    Sony-Kopfhörer WH-1000XM3 im Test
    Eine Oase der Stille oder des puren Musikgenusses

    Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
    Ein Test von Ingo Pakalski


      Autonome Schiffe: Und abends geht der Kapitän nach Hause
      Autonome Schiffe
      Und abends geht der Kapitän nach Hause

      Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
      Ein Bericht von Werner Pluta

      1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
      2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
      3. Power Pac Strom aus dem Container für Ozeanriesen

        •  /