Die für die Entwicklung der Anwendungssoftware für den neuen Personalausweis (ePerso) zuständigen Firmen OpenLimit SignCubes und Siemens IT Solutions and Services haben beim Bundesamt für Sichericht in der Informationstechnik (BSI) eine neue Version der AusweisApp zur Prüfung eingereicht. Keine 24 Stunden nach Freigabe der ersten Fassung war im Internet ein Exploit aufgetaucht, der zwei Sicherheitslücken in der Update-Funktion ausnutzte. Das BSI zog die Software daraufhin zurück.
Die von Jan Schejbal aufgedeckten Schwachstellen, die sich mittels DNS-Manipulation und Directory Traversal zum Einschleusen von Schadcode missbrauchen lassen, wurden in der überarbeiteten Version entfernt, wie das BSI mitteilt. Man unterziehe das Update derzeit umfangreichen Tests. Sind diese abgeschlossen, wird die AusweisApp wieder zum Download angeboten.
Das BSI hat laut eigener Aussage auch die mit dem Updateverfahren verbundenen Prozesse eingehend überprüft, um künftig von Nutzern und Diensteanbietern gemeldete Probleme mit der Software schnellstmöglich auswerten und erforderliche Aktualisierungen bereitstellen zu können. Zudem sind zu regelmäßigen Terminen kumulierte Updates geplant. Sie sollen weitere etwaige Schwachstellen schließen und die Funktionalität, Benutzerfreundlichkeit sowie Performance der AusweisApp verbessern. Bei besonderen Vorfällen könnten Aktualisierungen auch über außerplanmäßige Hotfixes erfolgen.
Das BSI räumt ein, „dass weitere Probleme auftreten können, die auch bei sorgfältiger Qualitätssicherung nicht vollständig vorhersehbar sind“. Das sei bei einer erstmaligen Bereitstellung einer komplexen Software, die auf einer Vielzahl unterschiedlicher Gerätekonfigurationen einsetzbar sein muss, nicht auszuschließen. Die Behörde ruft Nutzer dazu auf, per E-Mail an ePA@bsi.bund.de oder über die Website ausweisapp.bund.de Rückmeldungen zu geben.
Bürger sollen die Applikation in Kombination mit dem ePerso künftig nutzen können, um sich online zu identifizieren und Geschäfte abzuschließen. Auch wenn die entdeckten Sicherheitslücken nicht in direktem Zusammenhang mit dem neuen Personalausweis stehen, ist es schon überraschend, dass sie dem BSI im ersten Prüfungsprozess entgangen waren.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…