ID Wallet: Digitaler Führerschein nicht mehr im Appstore

Das ID Wallet ist vorerst nicht mehr verfügbar, zuvor hatte es Sicherheitsprobleme in der Infrastruktur gegeben.

Artikel veröffentlicht am ,
Führerschein, Kreditkarte und Personalausweis digital - das verspricht die App ID Wallet, doch bisher gibt es vor allem Pannen.
Führerschein, Kreditkarte und Personalausweis digital - das verspricht die App ID Wallet, doch bisher gibt es vor allem Pannen. (Bild: Digital Enabling)

Die App ID Wallet für den digitalen Führerschein wurde kurz nach dem Start wieder aus den Appstores entfernt. Das erklärte das Unternehmen Digital Enabling, das die App entwickelt. Zuvor war die App bereits zeitweise nicht nutzbar.

Stellenmarkt
  1. Software Test Manager (m/w/d)
    afb Application Services AG, München, Dresden, Magdeburg, Görlitz
  2. Test & Quality Manager (m/w/d)
    Vodafone GmbH, Düsseldorf, Unterföhring
Detailsuche

"Um das System auf höhere Nutzlasten auszulegen und den Sicherheitshinweisen nachzugehen, werden wir in den nächsten Wochen umfangreiche weitere Tests durchführen", schreibt Digital Enabling auf seiner Webseite. "In dieser Zeit werden wir die App aus den Stores nehmen."

Die App wurde vergangene Woche kurz vor der Bundestagswahl vorgestellt. Kurz darauf fanden verschiedene Personen Hinweise auf Sicherheitsprobleme in der Infrastruktur der App.

Offenes AXFR-Protokoll und Möglichkeit für Subdomain Takeover

Auf Twitter schrieb eine Person mit dem Pseudonym Flüpke, dass die DNS-Server von Digital Enabling Zonentransfers über das AXFR-Protokoll zuließen und der Port für ein MariaDB offen erreichbar war. AXFR ermöglicht es, die gesamte Konfiguration an Subdomains zu einer Domain auszulesen und wird üblicherweise nicht öffentlich angeboten.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    8.–12. November 2021, Virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    26. November 2021, Virtuell
Weitere IT-Trainings

Über das AXFR-Protokoll waren diverse Hostnamen sichtbar, die für einen Subdomain-Takeover-Angriff verwundbar waren. Uns gelang es damit, eine Subdomain, die wohl zu Testzwecken eingerichtet wurde, über eine virtuelle Maschine bei Azure zu kontrollieren.

Nach diesen Funden war der DNS-Server zeitweise nicht erreichbar, was dazu führte, dass die App zwischenzeitlich nicht funktionierte.

Über die ID-Wallet-App soll es ermöglicht werden, einen Führerschein digital vorzuzeigen und beispielsweise in Car-Sharing-Anwendungen zu nutzen. Mit derselben Technologie sollen langfristig auch andere Dokumente geteilt werden können.

Nachtrag vom 29. September 2021, 16:39 Uhr

Neben den bisher bekannten Problemen von ID Wallet haben Flüpke und Lilith Wittman heute noch auf ein konzeptionelles Problem der dahinterliegenden Technik hingewiesen. Demnach wird beim Freigeben von persönlichen Daten in der App weder geprüft noch ist erkennbar, wer eigentlich das Gegenüber ist. Als Beispiel für eine Situation, in der das ein Problem ist, nennen sie einen QR-Code beim Check-in eines Hotels, ein Anwendungszweck, für den die App bereits testweise eingesetzt wurde. Dieser könnte von einer böswilligen Person überklebt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


chefin 01. Okt 2021 / Themenstart

Was ist den die sprachliche Definition eines Protokolls? DNS ist jedenfalls kein...

Kein Kostverächter 30. Sep 2021 / Themenstart

Und wieder einer, der nicht versteht, dass "mehr Technik" nicht automatisch "Fortschritt...

AussieGrit 29. Sep 2021 / Themenstart

Wenn sie wirklich den Store Eintrag löschen und später - beim erneuten Release - einen...

MSDowngrade 29. Sep 2021 / Themenstart

Die sind also lt. dem GitHub Repo Kunde von cje.de. (Die sich wohl gerade mal selbst...

Kommentieren



Aktuell auf der Startseite von Golem.de
Pixel 6 und 6 Pro im Test
Google hat es endlich geschafft

Das Pixel 6 und Pixel 6 Pro werden endlich Googles Rang als Android-Macher gerecht: Die Smartphones bieten starke Hardware und sinnvolle Software.
Ein Test von Tobias Költzsch

Pixel 6 und 6 Pro im Test: Google hat es endlich geschafft
Artikel
  1. 20 Jahre Windows XP: Der letzte XP-Fan
    20 Jahre Windows XP
    Der letzte XP-Fan

    Windows XP wird 20 Jahre alt - und nur wenige nutzen es noch täglich. Golem.de hat einen dieser Anwender besucht.
    Ein Interview von Martin Wolf

  2. Schrems-II-Urteil: Dax-Chefs in großer Sorge wegen US-Cloud-Risiken
    Schrems-II-Urteil
    Dax-Chefs in "großer Sorge" wegen US-Cloud-Risiken

    Der Chef von Telefónica, Facebooks Europachefin und der SAP-Finanzvorstand wollen wieder rechtssicher Daten mit den USA austauschen können.

  3. iPhone: Anker bringt neues Magsafe-Zubehör
    iPhone
    Anker bringt neues Magsafe-Zubehör

    Für Nutzer eines iPhone 12 oder 13 hat Anker neues Magsafe-Zubehör parat: Unter anderem gibt es eine clevere Ladestation für iPhone und Airpods.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional günstiger • Punkte sammeln bei MM für Club-Mitglieder: 1.000 Punkte geschenkt • Alternate (u. a. Apacer 1TB SATA 86,90€ & Team Group 1TB PCIe 4.0 159,90€) • Echo Show 8 (1. Gen.) 64,99€ • Halloween Sale bei Gamesplanet • Smart Home von Eufy günstiger [Werbung]
    •  /