Software für neuen Personalausweis ermöglicht Einschleusen von Malware

Keine 24 Stunden nach Freigabe der Anwendungssoftware für den neuen Personalausweis (ePerso) namens AusweisApp ist im Internet ein erster Exploit aufgetaucht, der zwei Sicherheitslücken in der Update-Funktion ausnutzt. Entdeckt hat sie Jan Schejbal, Mitglied der Piratenpartei Deutschland.

Wie Schejbal in seinem Blog schreibt, ist die Updatefunktion an sich „ordentlich gesichert“, um zu verhindern, dass ein Angreifer die Kontrolle darüber übernimmt und mit ihrer Hilfe Malware auf den Rechner eines Nutzers einschleust. So hole der Update-Server über eine HTTPS-geschützte Verbindung zunächst eine Versionsdatei. Der Client überprüfe anschließend, ob das SSL-Zertifikat auch gültig ist. Er versäume es jedoch, das Zertifikat mit dem Servernamen abzugleichen. Dadurch benötige ein Angreifer kein gültiges Zertifikat des Update-Servers, sondern nur ein beliebiges anderes, um den Client per DNS-Manipulation dazu zu bringen, eine Datei von einer beliebigen URL herunterzuladen und zu installieren.

Die Update-Programm erwartet Schejbal zufolge dabei ein ZIP-Archiv mit einer .MSI-Datei. Zwar sei an diesem Punkt eine weitere Signatur eingebaut, die vor Ausführung der Datei geprüft werde, allerdings werde das ZIP-Archiv schon vorher entpackt. Mit einer manipulierten ZIP-Datei könne man daher aus dem temporären Verzeichnis ausbrechen und frei auf das Dateisystem zugreifen (Directory Traversal), beispielsweise um eine Schadsoftware ins Autostartverzeichnis zu schmuggeln.

Schejbals Fazit lautet: „Ein Dolev-Yao-Angreifer, das heißt ein Angreifer, welcher den Netzwerkverkehr beliebig manipulieren kann, jedoch nicht in der Lage ist, als sicher geltende Verschlüsselung zu brechen oder den Client des Opfers vorher zu manipulieren, kann somit aufgrund zweier Implementierungsfehler in der AusweisApp über die Auto-Update-Funktion Schadsoftware einspielen.“

Der Anbieter der AusweisApp, das Bundesamt für Sicherheit in der Informationstechnik (BSI), hat inzwischen angekündigt, die „vermeintliche Sicherheitslücke“ in der Software gemeinsam mit dem Hersteller zu prüfen. Sollte eine Schwachstelle bestehen, werde man unverzüglich eine neue Version der Software bereitstellen. Am Nachmittag ließ sich die AusweisApp nicht mehr herunterladen. Offensichtlich hat das BSI den Download deaktiviert. Beim Klick auf die Schaltfläche „Jetzt laden“ wird lediglich die Website erneut aufgerufen.

Bürger sollen die Applikation in Kombination mit dem ePerso künftig nutzen können, um sich online zu identifizieren und Geschäfte abzuschließen. Auch wenn die entdeckten Sicherheitslücken nicht in direktem Zusammenhang mit dem neuen Personalausweis stehen, überrascht es schon, dass das BSI die relativ einfachen Fehler bei der Prüfung der Software übersehen hat.