Abo
  • Services:
Anzeige
Die österreichische Bürgerkarte
Die österreichische Bürgerkarte (Bild: Wolfgang Ettlinger/Screenshot: Golem.de)

Österreich: Identitätsdiebstahl per Bürgerkarte

Die österreichische Bürgerkarte
Die österreichische Bürgerkarte (Bild: Wolfgang Ettlinger/Screenshot: Golem.de)

Das System für elektronische Signaturen in Österreich, die Bürgerkarte, weist eine Sicherheitslücke auf. Über den Angriff auf ein Java-Applet können Zugriffe so umgeleitet werden, dass der Nutzer auf der falschen Webseite unterschreibt.

In einem Vortrag beim Security Forum an der FH Oberösterreich in Hagenberg hat der Student Wolfgang Ettlinger eine Sicherheitslücke beim System der Bürgerkarte aufgezeigt. Veranstaltet wurde die Konferenz vom Verein Hagenberger Kreis zur Förderung der digitalen Sicherheit. Die Bürgerkarte dient Österreichern dazu, sich beispielsweise beim Onlinebanking oder bei E-Government-Anwendungen zu legitimieren.

Anzeige

Dazu gibt es neben der auf PCs lokal zu installierenden Bürgerkartenumgebung (BKU) auch die Möglichkeit, die Authentifizierung über ein Java-Applet vornehmen zu lassen. Das ist beispielsweise nützlich, um den Dienst auch mit mobilen Geräten zu nutzen.

Ettlingers Angriff basiert darauf, die Eingabe der PIN für die Bürgerkarte mitsamt der erfolgreichen Authentifizierung - die beispielsweise in einem Cookie gespeichert werden kann - abzufangen und umzuleiten. Wie bei vielen Java-Lücken kommt dabei ein versteckter iFrame zum Einsatz.

Der Beschreibung des Angriffs zufolge lässt sich das auch mit einem selbstgemachten Applet erreichen, das sich mit den Authentifizierungsservern verbindet. Damit ist es möglich, auch auf betrügerischen Webseiten, wie bei typischen Phishing-Angriffen, die Daten der Bürgerkarte abzufangen. Im Hintergrund können dann ganz andere Aktionen ablaufen wie beispielsweise eine Buchung per Onlinebanking. Ettlinger hat das mit dem Konto eines Freundes und dessen ausdrücklicher Zustimmung auch bereits demonstriert und in einem Video festgehalten.

Dem Student zufolge hat das österreichische Mocca-Projekt, das für das Bürgerkarten-Applet verantwortlich ist, die Lücke bereits geschlossen. Die früheren Versionen des Programms sind aber immer noch digital signiert und können missbraucht werden. Laut Ettlinger ist die einzige gründliche Abhilfe eine Aufnahme der alten Applets in die Blacklists von Java-Umgebungen.


eye home zur Startseite
razer 19. Apr 2012

sollte so sein, aber wenn ich mich recht erinnere sieht man mit processexplorer recht gut...

michi5579 19. Apr 2012

Das steht nicht im Artikel sondern wird prominent im Video verwendet. Und ich meine...

Mingfu 19. Apr 2012

Das war als Witz gedacht, oder? Der österreichische Humor kann manchmal so hinterfotzig...

yeppi1 19. Apr 2012

Man muss sich ja nur vorstellen, wie wenige es gibt, die das dann publik machen! Es darf...

deutscher_michel 19. Apr 2012

Das ist das Einzige was mich immer wieder beruhigt wenn es um Staats-Trojaner...



Anzeige

Stellenmarkt
  1. Continental AG, Frankfurt
  2. Robert Bosch Car Multimedia GmbH, Hildesheim
  3. Wirecard Technologies GmbH, Aschheim bei München
  4. Continental AG, Regensburg


Anzeige
Top-Angebote
  1. 12,99€
  2. 19,99€
  3. 19,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Royal Navy

    Hubschrauber mit USB-Stick sucht Netzwerkanschluss

  2. Class-Action-Lawsuit

    Hunderte Ex-Mitarbeiter verklagen Blackberry

  3. Rivatuner Statistics Server

    Afterburner unterstützt Vulkan und bald die UWP

  4. Onlinewerbung

    Youtube will nervige 30-Sekunden-Spots stoppen

  5. SpaceX

    Start von Trägerrakete Falcon 9 verschoben

  6. Hawkeye

    ZTE bricht Crowdfunding-Kampagne ab

  7. FTTH per NG-PON2

    10 GBit/s für Endnutzer in Neuseeland erfolgreich getestet

  8. Smartphones

    FCC-Chef fordert Aktivierung ungenutzter UKW-Radios

  9. Die Woche im Video

    Die Selbstzerstörungssequenz ist aktiviert

  10. Merkels NSA-Vernehmung

    Die unerträgliche Uninformiertheit der Kanzlerin



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
MX Board Silent im Praxistest: Der viel zu teure Feldversuch von Cherry
MX Board Silent im Praxistest
Der viel zu teure Feldversuch von Cherry
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

Everywhere: Ex-GTA-Producer heuert Ex-Crytek-Entwickler an
Everywhere
Ex-GTA-Producer heuert Ex-Crytek-Entwickler an
  1. Rockstar Games Weitere 5 Millionen verkaufte GTA-5-Spiele in drei Monaten
  2. Leslie Benzies GTA-Chefentwickler arbeitet an neuem Projekt
  3. Rockstar Games Spieleklassiker Bully für Mobile-Geräte erhältlich

  1. Re: Die 30 sek spots...

    TwoPlayer | 12:41

  2. Re: Zerstörung erfolgt mit Hammer

    Kirschkuchen | 12:40

  3. Re: Und wo liegt nun der Unterschied zu Alexa?

    Rulf | 12:39

  4. Re: Mit guten Beispiel vorangehen, Golem

    marc_kap | 12:39

  5. Re: Ich bin einfach zu doof!

    hg (Golem.de) | 12:35


  1. 12:11

  2. 11:29

  3. 11:09

  4. 10:47

  5. 18:28

  6. 14:58

  7. 14:16

  8. 12:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel