Neuer Personalausweis per Phishing geknackt

Jan Schejbal von der Piratenpartei hat einen weiteren Angriff auf den neuen Personalausweis demonstriert. Dabei handelt es sich um eine Social-Engineering-Attacke, die fast identisch mit einem klassischen Phishing-Angriff ist.

Dazu erstellte er einen fiktiven „FSK18-Bereich“ auf der Website der Piratenpartei und gab vor, dass eine Alterskontrolle erforderlich sei. Wenn der Benutzer den Verifikationsprozess initiiert, startet jedoch nicht die AusweisApp, sondern ein von Schejbal programmiertes Javascript-Programm innerhalb der Website.

Diese Software gleicht der AusweisApp wie ein Ei dem anderen. Zum Schluss wird der Benutzer aufgefordert, seine PIN einzugeben, die anschließend problemlos an die Website hätte übermittelt werden können. Allerdings sieht der Benutzer nur einen Hinweis, dass er auf die Fake-AusweisApp hereingefallen ist.

Den Angriff kann jeder unter der URL fsk18.piratenpartei.de ausprobieren. Dazu sind weder Personalausweis noch Lesegerät erforderlich.

Die Javascript-App von Schejbal ist nicht perfekt. So lässt sich die PIN nicht über die in der echten AusweisApp vorhandenen Bildschirmtastatur eingeben. Ferner reagiert das Programm nicht auf andere Schaltflächen oder Kontrollkästchen als „Weiter“. Das sei aber technisch kein Problem, sondern habe lediglich daran gelegen, dass er zu „faul“ gewesen sei, weitere Dialoge detailgetreu nachzubilden, schreibt Schejbal in seinem Blog.

Der Chaos Computer Club (CCC) hatte im Herbst in mehreren Magazin-Sendungen der ARD einen Hack vorgeführt, der ebenfalls die PIN stiehlt. Er setzt jedoch voraus, dass der Angreifer auf dem Rechner des Benutzers Malware installiert.

Dem CCC wurde damals vorgeworfen, die Malware unter vereinfachten, unrealistischen Bedingungen untergeschoben zu haben. So befanden sich die Rechner des Opfers und des Angreifers im selben LAN, so dass keine NAT-Grenze zu überwinden war. Ferner gab es auf dem PC des Opfers weder Firewall noch Virenschutz.

Für Schejbals Angriff ist das Einschleusen von Malware erst gar nicht erforderlich. Allerdings deckt auch er keine technische Sicherheitslücke auf. Er täuscht lediglich den arglosen Benutzer, der daraufhin leichtfertig seine PIN eingibt.

Schejbal geht allerdings davon aus, dass zahlreiche User auf seinen Trick hereingefallen wären, selbst dann, wenn sie normalerweise ihre PIN über ein Lesegerät mit eigener Tastatur eingäben. Schejbal warnt ferner vor der Bildschirmtastatur. Sie täusche eine höhere Sicherheit vor, könne aber bestenfalls sehr einfache Keylogger austricksen. Unter Windows ist es generell möglich, alle „Messages“ wie Tastatur- und Mausbefehle in anderen Fenstern auf dem Desktop abzufangen. Adminrechte sind dazu nicht erforderlich.

Für den Angreifer ist die PIN alleine wertlos. Wenn der Angreifer jedoch zusätzlich in den physischen Besitz oder über die virtuelle Kontrolle des Ausweis kommt, kann er im Internet die Identität des Opfers annehmen. Kontrolle über einen fremden Ausweis kann man beispielsweise durch einen Relay-Angriff (PDF) erlangen.

Jan Schejbal hatte bereits im November nur 24 Stunden nach Freigabe der AusweisApp ein Sicherheitsproblem entdeckt. Die Update-Funktion überprüfte die Echtheit des Zertifkats vor dem Download von Patches nicht. Daraufhin wurde die AusweisApp zurückgezogen und erst Anfang Januar wieder freigegeben.