ID Wallet: Digitaler Führerschein nicht mehr im Appstore

Das ID Wallet ist vorerst nicht mehr verfügbar, zuvor hatte es Sicherheitsprobleme in der Infrastruktur gegeben.

Artikel veröffentlicht am ,
Führerschein, Kreditkarte und Personalausweis digital - das verspricht die App ID Wallet, doch bisher gibt es vor allem Pannen.
Führerschein, Kreditkarte und Personalausweis digital - das verspricht die App ID Wallet, doch bisher gibt es vor allem Pannen. (Bild: Digital Enabling)

Die App ID Wallet für den digitalen Führerschein wurde kurz nach dem Start wieder aus den Appstores entfernt. Das erklärte das Unternehmen Digital Enabling, das die App entwickelt. Zuvor war die App bereits zeitweise nicht nutzbar.

Stellenmarkt
  1. Business Analyst / Buchhalter mit IT-Affinität (m/w/d)
    Allianz Lebensversicherungs-AG, München, Stuttgart
  2. IT Senior Compliance Analyst (m/w/d)
    DLR Gesellschaft für Raumfahrtanwendungen (GfR) mbH, Oberpfaffenhofen
Detailsuche

"Um das System auf höhere Nutzlasten auszulegen und den Sicherheitshinweisen nachzugehen, werden wir in den nächsten Wochen umfangreiche weitere Tests durchführen", schreibt Digital Enabling auf seiner Webseite. "In dieser Zeit werden wir die App aus den Stores nehmen."

Die App wurde vergangene Woche kurz vor der Bundestagswahl vorgestellt. Kurz darauf fanden verschiedene Personen Hinweise auf Sicherheitsprobleme in der Infrastruktur der App.

Offenes AXFR-Protokoll und Möglichkeit für Subdomain Takeover

Auf Twitter schrieb eine Person mit dem Pseudonym Flüpke, dass die DNS-Server von Digital Enabling Zonentransfers über das AXFR-Protokoll zuließen und der Port für ein MariaDB offen erreichbar war. AXFR ermöglicht es, die gesamte Konfiguration an Subdomains zu einer Domain auszulesen und wird üblicherweise nicht öffentlich angeboten.

Golem Karrierewelt
  1. Deep Dive: Data Governance Fundamentals: virtueller Ein-Tages-Workshop
    22.02.2023, Virtuell
  2. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    10.11.2022, Virtuell
Weitere IT-Trainings

Über das AXFR-Protokoll waren diverse Hostnamen sichtbar, die für einen Subdomain-Takeover-Angriff verwundbar waren. Uns gelang es damit, eine Subdomain, die wohl zu Testzwecken eingerichtet wurde, über eine virtuelle Maschine bei Azure zu kontrollieren.

Nach diesen Funden war der DNS-Server zeitweise nicht erreichbar, was dazu führte, dass die App zwischenzeitlich nicht funktionierte.

Über die ID-Wallet-App soll es ermöglicht werden, einen Führerschein digital vorzuzeigen und beispielsweise in Car-Sharing-Anwendungen zu nutzen. Mit derselben Technologie sollen langfristig auch andere Dokumente geteilt werden können.

Nachtrag vom 29. September 2021, 16:39 Uhr

Neben den bisher bekannten Problemen von ID Wallet haben Flüpke und Lilith Wittman heute noch auf ein konzeptionelles Problem der dahinterliegenden Technik hingewiesen. Demnach wird beim Freigeben von persönlichen Daten in der App weder geprüft noch ist erkennbar, wer eigentlich das Gegenüber ist. Als Beispiel für eine Situation, in der das ein Problem ist, nennen sie einen QR-Code beim Check-in eines Hotels, ein Anwendungszweck, für den die App bereits testweise eingesetzt wurde. Dieser könnte von einer böswilligen Person überklebt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


chefin 01. Okt 2021

Was ist den die sprachliche Definition eines Protokolls? DNS ist jedenfalls kein...

Kein Kostverächter 30. Sep 2021

Und wieder einer, der nicht versteht, dass "mehr Technik" nicht automatisch "Fortschritt...

AussieGrit 29. Sep 2021

Wenn sie wirklich den Store Eintrag löschen und später - beim erneuten Release - einen...

MSDowngrade 29. Sep 2021

Die sind also lt. dem GitHub Repo Kunde von cje.de. (Die sich wohl gerade mal selbst...



Aktuell auf der Startseite von Golem.de
Streit mit Magnus Carlsen
Schachgroßmeister Niemann soll über 100 Mal betrogen haben

Schachweltmeister Magnus Carlsen wirft dem Großmeister Hans Niemann Betrug vor - eine neue Untersuchung stärkt die Vorwürfe.

Streit mit Magnus Carlsen: Schachgroßmeister Niemann soll über 100 Mal betrogen haben
Artikel
  1. Airpods Pro 2 im Test: Apple schaltet Lärm und Konkurrenz aus
    Airpods Pro 2 im Test
    Apple schaltet Lärm und Konkurrenz aus

    Mit sinnvollen Änderungen sind die Airpods Pro 2 das Beste, was es derzeit an ANC-Hörstöpseln gibt. Aber Apples kundenfeindliche Borniertheit nervt.
    Ein Test von Ingo Pakalski

  2. Vodafone und Telekom: Zwei Netzbetreiber melden Datenrekord auf Oktoberfest
    Vodafone und Telekom
    Zwei Netzbetreiber melden Datenrekord auf Oktoberfest

    Die Telekom liegt beim Datenvolumen klar vor Vodafone. Es gab in diesem Jahr besonders viel Roaming durch ausländische Netze.

  3. Dr. Mike Eissele: Es kann immer wieder technologische Revolutionen geben
    Dr. Mike Eissele
    "Es kann immer wieder technologische Revolutionen geben"

    Chefs von Devs Teamviewer-CTO Dr. Mike Eissele gibt einen tiefen Einblick, wie man sich auf eine Arbeitswelt ohne Bildschirme vorbereitet.
    Ein Interview von Daniel Ziegener

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Inno3D RTX 3090 Ti 1.199€, MSI B550 Mainboard 118,10€, LG OLED 48" 799€, Samsung QLED TVs 2022 (u. a. 65" 899€, 55" 657€) • Alternate (Acer Gaming-Monitore) • MindStar (G-Skill DDR4-3600 16GB 88€, Intel Core i5 2.90 Ghz 99€) • 3 Spiele für 49€ [Werbung]
    •  /