Software für neuen Personalausweis ermöglicht Einschleusen von Malware


Das BSI hat den Download der AusweisApp vorübergehend gestoppt (Screenshot: ZDNet).

Keine 24 Stunden nach Freigabe der Anwendungssoftware für den neuen Personalausweis (ePerso) namens AusweisApp ist im Internet ein erster Exploit aufgetaucht, der zwei Sicherheitslücken in der Update-Funktion ausnutzt. Entdeckt hat sie Jan Schejbal, Mitglied der Piratenpartei Deutschland.

Wie Schejbal in seinem Blog schreibt, ist die Updatefunktion an sich „ordentlich gesichert“, um zu verhindern, dass ein Angreifer die Kontrolle darüber übernimmt und mit ihrer Hilfe Malware auf den Rechner eines Nutzers einschleust. So hole der Update-Server über eine HTTPS-geschützte Verbindung zunächst eine Versionsdatei. Der Client überprüfe anschließend, ob das SSL-Zertifikat auch gültig ist. Er versäume es jedoch, das Zertifikat mit dem Servernamen abzugleichen. Dadurch benötige ein Angreifer kein gültiges Zertifikat des Update-Servers, sondern nur ein beliebiges anderes, um den Client per DNS-Manipulation dazu zu bringen, eine Datei von einer beliebigen URL herunterzuladen und zu installieren.

Die Update-Programm erwartet Schejbal zufolge dabei ein ZIP-Archiv mit einer .MSI-Datei. Zwar sei an diesem Punkt eine weitere Signatur eingebaut, die vor Ausführung der Datei geprüft werde, allerdings werde das ZIP-Archiv schon vorher entpackt. Mit einer manipulierten ZIP-Datei könne man daher aus dem temporären Verzeichnis ausbrechen und frei auf das Dateisystem zugreifen (Directory Traversal), beispielsweise um eine Schadsoftware ins Autostartverzeichnis zu schmuggeln.

Schejbals Fazit lautet: „Ein Dolev-Yao-Angreifer, das heißt ein Angreifer, welcher den Netzwerkverkehr beliebig manipulieren kann, jedoch nicht in der Lage ist, als sicher geltende Verschlüsselung zu brechen oder den Client des Opfers vorher zu manipulieren, kann somit aufgrund zweier Implementierungsfehler in der AusweisApp über die Auto-Update-Funktion Schadsoftware einspielen.“

Der Anbieter der AusweisApp, das Bundesamt für Sicherheit in der Informationstechnik (BSI), hat inzwischen angekündigt, die „vermeintliche Sicherheitslücke“ in der Software gemeinsam mit dem Hersteller zu prüfen. Sollte eine Schwachstelle bestehen, werde man unverzüglich eine neue Version der Software bereitstellen. Am Nachmittag ließ sich die AusweisApp nicht mehr herunterladen. Offensichtlich hat das BSI den Download deaktiviert. Beim Klick auf die Schaltfläche „Jetzt laden“ wird lediglich die Website erneut aufgerufen.

Bürger sollen die Applikation in Kombination mit dem ePerso künftig nutzen können, um sich online zu identifizieren und Geschäfte abzuschließen. Auch wenn die entdeckten Sicherheitslücken nicht in direktem Zusammenhang mit dem neuen Personalausweis stehen, überrascht es schon, dass das BSI die relativ einfachen Fehler bei der Prüfung der Software übersehen hat.

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago