Abo
  • Services:
Anzeige
Die österreichische Bürgerkarte
Die österreichische Bürgerkarte (Bild: Wolfgang Ettlinger/Screenshot: Golem.de)

Österreich: Identitätsdiebstahl per Bürgerkarte

Die österreichische Bürgerkarte
Die österreichische Bürgerkarte (Bild: Wolfgang Ettlinger/Screenshot: Golem.de)

Das System für elektronische Signaturen in Österreich, die Bürgerkarte, weist eine Sicherheitslücke auf. Über den Angriff auf ein Java-Applet können Zugriffe so umgeleitet werden, dass der Nutzer auf der falschen Webseite unterschreibt.

In einem Vortrag beim Security Forum an der FH Oberösterreich in Hagenberg hat der Student Wolfgang Ettlinger eine Sicherheitslücke beim System der Bürgerkarte aufgezeigt. Veranstaltet wurde die Konferenz vom Verein Hagenberger Kreis zur Förderung der digitalen Sicherheit. Die Bürgerkarte dient Österreichern dazu, sich beispielsweise beim Onlinebanking oder bei E-Government-Anwendungen zu legitimieren.

Anzeige

Dazu gibt es neben der auf PCs lokal zu installierenden Bürgerkartenumgebung (BKU) auch die Möglichkeit, die Authentifizierung über ein Java-Applet vornehmen zu lassen. Das ist beispielsweise nützlich, um den Dienst auch mit mobilen Geräten zu nutzen.

Ettlingers Angriff basiert darauf, die Eingabe der PIN für die Bürgerkarte mitsamt der erfolgreichen Authentifizierung - die beispielsweise in einem Cookie gespeichert werden kann - abzufangen und umzuleiten. Wie bei vielen Java-Lücken kommt dabei ein versteckter iFrame zum Einsatz.

Der Beschreibung des Angriffs zufolge lässt sich das auch mit einem selbstgemachten Applet erreichen, das sich mit den Authentifizierungsservern verbindet. Damit ist es möglich, auch auf betrügerischen Webseiten, wie bei typischen Phishing-Angriffen, die Daten der Bürgerkarte abzufangen. Im Hintergrund können dann ganz andere Aktionen ablaufen wie beispielsweise eine Buchung per Onlinebanking. Ettlinger hat das mit dem Konto eines Freundes und dessen ausdrücklicher Zustimmung auch bereits demonstriert und in einem Video festgehalten.

Dem Student zufolge hat das österreichische Mocca-Projekt, das für das Bürgerkarten-Applet verantwortlich ist, die Lücke bereits geschlossen. Die früheren Versionen des Programms sind aber immer noch digital signiert und können missbraucht werden. Laut Ettlinger ist die einzige gründliche Abhilfe eine Aufnahme der alten Applets in die Blacklists von Java-Umgebungen.


eye home zur Startseite
razer 19. Apr 2012

sollte so sein, aber wenn ich mich recht erinnere sieht man mit processexplorer recht gut...

michi5579 19. Apr 2012

Das steht nicht im Artikel sondern wird prominent im Video verwendet. Und ich meine...

Mingfu 19. Apr 2012

Das war als Witz gedacht, oder? Der österreichische Humor kann manchmal so hinterfotzig...

yeppi1 19. Apr 2012

Man muss sich ja nur vorstellen, wie wenige es gibt, die das dann publik machen! Es darf...

deutscher_michel 19. Apr 2012

Das ist das Einzige was mich immer wieder beruhigt wenn es um Staats-Trojaner...



Anzeige

Stellenmarkt
  1. Heraeus infosystems GmbH, Hanau bei Frankfurt am Main
  2. ARRI Media GmbH, München
  3. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf
  4. NRW.BANK, Düsseldorf


Anzeige
Blu-ray-Angebote
  1. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 17,49€)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Riesenbestellung

    Uber will mit 24.000 Volvo autonom Taxi fahren

  2. SuperSignal

    Vodafone Deutschland schaltet Smart-Cells ab

  3. Top Gun 3D

    Mit VR-Headset kostenlos ins Kino

  4. Übernahme

    Marvell kauft Cavium für 6 Milliarden US-Dollar

  5. Wilhelm.tel

    Weiterer Kabelnetzbetreiber schaltet Analog-TV ab

  6. Grafiktreiber

    AMDs Display-Code in Linux-Kernel aufgenommen

  7. Oneplus 5T im Test

    Praktische Änderungen ohne Preiserhöhung

  8. Vito, Sprinter, Citan

    Mercedes bringt Lieferwagen als Elektrofahrzeuge heraus

  9. JoltandBleed

    Oracle veröffentlicht Notfallpatch für Universitäts-Software

  10. Medion Akoya P56000

    Aldi-PC mit Ryzen 5 und RX 560D kostet 600 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. Re: #CDU 22% | #SPD 19% | #AfD 16% | #FDP...

    rocketfoxx | 07:12

  2. Re: Für den Kurs...

    Topf | 07:02

  3. Re: Gear VR?

    AntonZietz | 06:51

  4. Re: Keine Kaufempfehlung

    elcaron | 06:42

  5. Karl Nagel wird die vorher wie Röhm wegputschen .....

    barforbarfoo | 06:41


  1. 07:10

  2. 17:26

  3. 17:02

  4. 16:21

  5. 15:59

  6. 15:28

  7. 15:00

  8. 13:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel