Die für die Entwicklung der Anwendungssoftware für den neuen Personalausweis (ePerso) zuständigen Firmen OpenLimit SignCubes und Siemens IT Solutions and Services haben beim Bundesamt für Sichericht in der Informationstechnik (BSI) eine neue Version der AusweisApp zur Prüfung eingereicht. Keine 24 Stunden nach Freigabe der ersten Fassung war im Internet ein Exploit aufgetaucht, der zwei Sicherheitslücken in der Update-Funktion ausnutzte. Das BSI zog die Software daraufhin zurück.
Die von Jan Schejbal aufgedeckten Schwachstellen, die sich mittels DNS-Manipulation und Directory Traversal zum Einschleusen von Schadcode missbrauchen lassen, wurden in der überarbeiteten Version entfernt, wie das BSI mitteilt. Man unterziehe das Update derzeit umfangreichen Tests. Sind diese abgeschlossen, wird die AusweisApp wieder zum Download angeboten.
Das BSI hat laut eigener Aussage auch die mit dem Updateverfahren verbundenen Prozesse eingehend überprüft, um künftig von Nutzern und Diensteanbietern gemeldete Probleme mit der Software schnellstmöglich auswerten und erforderliche Aktualisierungen bereitstellen zu können. Zudem sind zu regelmäßigen Terminen kumulierte Updates geplant. Sie sollen weitere etwaige Schwachstellen schließen und die Funktionalität, Benutzerfreundlichkeit sowie Performance der AusweisApp verbessern. Bei besonderen Vorfällen könnten Aktualisierungen auch über außerplanmäßige Hotfixes erfolgen.
Das BSI räumt ein, „dass weitere Probleme auftreten können, die auch bei sorgfältiger Qualitätssicherung nicht vollständig vorhersehbar sind“. Das sei bei einer erstmaligen Bereitstellung einer komplexen Software, die auf einer Vielzahl unterschiedlicher Gerätekonfigurationen einsetzbar sein muss, nicht auszuschließen. Die Behörde ruft Nutzer dazu auf, per E-Mail an ePA@bsi.bund.de oder über die Website ausweisapp.bund.de Rückmeldungen zu geben.
Bürger sollen die Applikation in Kombination mit dem ePerso künftig nutzen können, um sich online zu identifizieren und Geschäfte abzuschließen. Auch wenn die entdeckten Sicherheitslücken nicht in direktem Zusammenhang mit dem neuen Personalausweis stehen, ist es schon überraschend, dass sie dem BSI im ersten Prüfungsprozess entgangen waren.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…