Governikus: Personalausweis-Webanwendungen lassen sich austricksen

Mit einem relativ simplen Trick lässt sich die Authentifizierung von Webanwendungen mit dem elektronischen Personalausweis austricksen. Der Hersteller Governikus behauptet, dass dies in realen Anwendungen nicht funktioniert, kann aber nicht erklären, warum.

Artikel veröffentlicht am , Hanno Böck
Kaum genutzt und trotzdem unsicher: die Onlinefunktion des elektronischen Personalausweises
Kaum genutzt und trotzdem unsicher: die Onlinefunktion des elektronischen Personalausweises (Bild: Personalausweisportal.de/BSI)

Die Firma SEC Consult hat in einer Bibliothek für den elektronischen Personalausweis eine Sicherheitslücke gefunden. Das sogenannte Autent SDK der Firma Governikus erlaubt es, die Signaturprüfung auszutricksen.

Inhalt:
  1. Governikus: Personalausweis-Webanwendungen lassen sich austricksen
  2. Unerklärbare Sicherheitsmaßnahmen verhindern angeblich Angriff

Der elektronische Personalausweis in Deutschland erlaubt es Nutzern, mittels eines darauf vorhandenen RFID-Chips sich gegenüber Webanwendungen zu authentifizieren. Dafür benötigt der Nutzer einen passenden Kartenleser und eine Client-Software.

Signaturprüfung bei der einen, Datenauswertung bei der anderen Variablen

Die Software kommuniziert dabei mit einem vertrauenswürdigen Authentifizierungsserver, der anschließend eine entsprechende Anfrage signiert. Diese signierte Anfrage im SAML-Format wird anschließend an die jeweilige Webanwendung, die die Personalausweisfunktion nutzt, weitergeleitet und von dieser geprüft. Für solche Webanwendungen stellt die Firma Governikus eine in Java geschriebene Bibliothek bereit, das sogenannte Autent SDK.

Die Anfragen, die an die Webanwendung weitergeleitet werden, sind in der URL in einer GET-Variablen namens SAMLResponse codiert. Das Problem: Man kann diese Variable auch mehrfach in der URL angeben. Die Autent-Software prüft dann die Signatur der letzten in der URL übergebenen Variablen. Verarbeitet werden aber die Daten aus der ersten übergebenen Variablen.

Stellenmarkt
  1. Systemadministrator*in Desktopmanagement Produktions-IT
    SCHOTT AG, Mitterteich
  2. IT-Administrator/IT-Systemen- gineer (m/w/d)
    Step Computer- und Datentechnik GmbH, Lörrach
Detailsuche

Das Ergebnis: Ein Angreifer kann eine beliebige, gültig signierte SAML-Anfrage verwenden und gleichzeitig eine nicht gültig signierte andere SAML-Anfrage mitschicken - und sich so beispielsweise als jemand anderes ausgeben. Es wird dabei auch nicht geprüft, ob die Anfrage vom richtigen Nutzer stammt.

Ein Angreifer kann sich also selbst vom Authentifizierungsserver eine gültige Signatur für irgendeine Anfrage geben lassen und dann im Namen einer anderen Person eine Aktion durchführen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Unerklärbare Sicherheitsmaßnahmen verhindern angeblich Angriff 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Raumfahrt
Astra startet mit großen Ambitionen Billigraketen in Alaska

Mit 250.000 US-Dollar sollen die Raketen von Astra zum Preis eines Sportwagens hergestellt werden können. Wie will die Firma das schaffen?
Von Frank Wunderlich-Pfeiffer

Raumfahrt: Astra startet mit großen Ambitionen Billigraketen in Alaska
Artikel
  1. Ubisoft: Avatar statt Assassin's Creed
    Ubisoft
    Avatar statt Assassin's Creed

    E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

  2. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

ImBackAlive 24. Nov 2018

Du machst deinem Namen alle Ehre.

ImBackAlive 24. Nov 2018

Die müssen erneuert werden - denn entgegen der landläufigen Meinung, unterliegt ein...

pommesmatte 22. Nov 2018

Nein, das wäre das einzig sinnvolle. Andere Länder machen das genau so und nur das...

zuschauer 22. Nov 2018

Guckst Du hier: https://de.wikipedia.org/wiki/Internetangriffe_auf_Estland_2007 Mehr...

Mingfu 22. Nov 2018

Also erst einmal wie schon geschrieben: Bei HTTPS wird auch die Anfrage-URL...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ • Amazon: PC-Spiele reduziert (u. a. C&C: Remastered Collection 9,99€) [Werbung]
    •  /