Governikus: Personalausweis-Webanwendungen lassen sich austricksen

Mit einem relativ simplen Trick lässt sich die Authentifizierung von Webanwendungen mit dem elektronischen Personalausweis austricksen. Der Hersteller Governikus behauptet, dass dies in realen Anwendungen nicht funktioniert, kann aber nicht erklären, warum.

Artikel veröffentlicht am , Hanno Böck
Kaum genutzt und trotzdem unsicher: die Onlinefunktion des elektronischen Personalausweises
Kaum genutzt und trotzdem unsicher: die Onlinefunktion des elektronischen Personalausweises (Bild: Personalausweisportal.de/BSI)

Die Firma SEC Consult hat in einer Bibliothek für den elektronischen Personalausweis eine Sicherheitslücke gefunden. Das sogenannte Autent SDK der Firma Governikus erlaubt es, die Signaturprüfung auszutricksen.

Inhalt:
  1. Governikus: Personalausweis-Webanwendungen lassen sich austricksen
  2. Unerklärbare Sicherheitsmaßnahmen verhindern angeblich Angriff

Der elektronische Personalausweis in Deutschland erlaubt es Nutzern, mittels eines darauf vorhandenen RFID-Chips sich gegenüber Webanwendungen zu authentifizieren. Dafür benötigt der Nutzer einen passenden Kartenleser und eine Client-Software.

Signaturprüfung bei der einen, Datenauswertung bei der anderen Variablen

Die Software kommuniziert dabei mit einem vertrauenswürdigen Authentifizierungsserver, der anschließend eine entsprechende Anfrage signiert. Diese signierte Anfrage im SAML-Format wird anschließend an die jeweilige Webanwendung, die die Personalausweisfunktion nutzt, weitergeleitet und von dieser geprüft. Für solche Webanwendungen stellt die Firma Governikus eine in Java geschriebene Bibliothek bereit, das sogenannte Autent SDK.

Die Anfragen, die an die Webanwendung weitergeleitet werden, sind in der URL in einer GET-Variablen namens SAMLResponse codiert. Das Problem: Man kann diese Variable auch mehrfach in der URL angeben. Die Autent-Software prüft dann die Signatur der letzten in der URL übergebenen Variablen. Verarbeitet werden aber die Daten aus der ersten übergebenen Variablen.

Stellenmarkt
  1. Teamleader IT Network (m/w / divers)
    Eurowings Aviation GmbH, Dortmund
  2. Experte (m/w/d) App-Tracking
    Dirk Rossmann GmbH, Burgwedel
Detailsuche

Das Ergebnis: Ein Angreifer kann eine beliebige, gültig signierte SAML-Anfrage verwenden und gleichzeitig eine nicht gültig signierte andere SAML-Anfrage mitschicken - und sich so beispielsweise als jemand anderes ausgeben. Es wird dabei auch nicht geprüft, ob die Anfrage vom richtigen Nutzer stammt.

Ein Angreifer kann sich also selbst vom Authentifizierungsserver eine gültige Signatur für irgendeine Anfrage geben lassen und dann im Namen einer anderen Person eine Aktion durchführen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Unerklärbare Sicherheitsmaßnahmen verhindern angeblich Angriff 
  1. 1
  2. 2
  3.  


ImBackAlive 24. Nov 2018

Du machst deinem Namen alle Ehre.

ImBackAlive 24. Nov 2018

Die müssen erneuert werden - denn entgegen der landläufigen Meinung, unterliegt ein...

pommesmatte 22. Nov 2018

Nein, das wäre das einzig sinnvolle. Andere Länder machen das genau so und nur das...

zuschauer 22. Nov 2018

Guckst Du hier: https://de.wikipedia.org/wiki/Internetangriffe_auf_Estland_2007 Mehr...

Mingfu 22. Nov 2018

Also erst einmal wie schon geschrieben: Bei HTTPS wird auch die Anfrage-URL...



Aktuell auf der Startseite von Golem.de
Raumfahrt
SpaceX-Rakete stürzt voraussichtlich im März auf den Mond

Ob sich Elon Musk so die erste Ankunft einer SpaceX-Rakete auf dem Mond vorgestellt hat?

Raumfahrt: SpaceX-Rakete stürzt voraussichtlich im März auf den Mond
Artikel
  1. G413 SE, G413 TKL SE: Logitech bringt zwei mechanische Tastaturen für weniger Geld
    G413 SE, G413 TKL SE
    Logitech bringt zwei mechanische Tastaturen für weniger Geld

    Normalerweise sind mechanische Tastaturen von Logitech sehr teuer - nicht so die G413 SE und TKL SE. Die verzichten dafür auf RGB.

  2. Deutschland: E-Commerce wird immer mehr zum Normalfall
    Deutschland
    E-Commerce wird immer mehr zum Normalfall

    E-Commerce wird immer mehr als das Normale und Übliche empfunden, meint der Bundesverband E-Commerce und Versandhandel.

  3. Letzte Meile: Telekom will Preise für VDSL-Vermietung stark erhöhen
    Letzte Meile
    Telekom will Preise für VDSL-Vermietung stark erhöhen

    Die Telekom will von 1&1, Vodafone und Telefónica künftig erheblich mehr für die Anmietung der letzten Meile.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3090 24GB 2.349€ • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Razer Gaming-Maus 39,99€ • RX 6800XT 16GB 1.229€ • GOG New Year Sale: bis zu 90% Rabatt • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /