Jan Schejbal von der Piratenpartei hat einen weiteren Angriff auf den neuen Personalausweis demonstriert. Dabei handelt es sich um eine Social-Engineering-Attacke, die fast identisch mit einem klassischen Phishing-Angriff ist.

Dazu erstellte er einen fiktiven „FSK18-Bereich“ auf der Website der Piratenpartei und gab vor, dass eine Alterskontrolle erforderlich sei. Wenn der Benutzer den Verifikationsprozess initiiert, startet jedoch nicht die AusweisApp, sondern ein von Schejbal programmiertes Javascript-Programm innerhalb der Website.

Diese Software gleicht der AusweisApp wie ein Ei dem anderen. Zum Schluss wird der Benutzer aufgefordert, seine PIN einzugeben, die anschließend problemlos an die Website hätte übermittelt werden können. Allerdings sieht der Benutzer nur einen Hinweis, dass er auf die Fake-AusweisApp hereingefallen ist.


Das Javascript-Programm von Jan Schejbal sieht aus wie die AusweisApp, es klaut allerdings nur die PIN.

Den Angriff kann jeder unter der URL fsk18.piratenpartei.de ausprobieren. Dazu sind weder Personalausweis noch Lesegerät erforderlich.

Die Javascript-App von Schejbal ist nicht perfekt. So lässt sich die PIN nicht über die in der echten AusweisApp vorhandenen Bildschirmtastatur eingeben. Ferner reagiert das Programm nicht auf andere Schaltflächen oder Kontrollkästchen als „Weiter“. Das sei aber technisch kein Problem, sondern habe lediglich daran gelegen, dass er zu „faul“ gewesen sei, weitere Dialoge detailgetreu nachzubilden, schreibt Schejbal in seinem Blog.

Der Chaos Computer Club (CCC) hatte im Herbst in mehreren Magazin-Sendungen der ARD einen Hack vorgeführt, der ebenfalls die PIN stiehlt. Er setzt jedoch voraus, dass der Angreifer auf dem Rechner des Benutzers Malware installiert.

Dem CCC wurde damals vorgeworfen, die Malware unter vereinfachten, unrealistischen Bedingungen untergeschoben zu haben. So befanden sich die Rechner des Opfers und des Angreifers im selben LAN, so dass keine NAT-Grenze zu überwinden war. Ferner gab es auf dem PC des Opfers weder Firewall noch Virenschutz.

Für Schejbals Angriff ist das Einschleusen von Malware erst gar nicht erforderlich. Allerdings deckt auch er keine technische Sicherheitslücke auf. Er täuscht lediglich den arglosen Benutzer, der daraufhin leichtfertig seine PIN eingibt.

Schejbal geht allerdings davon aus, dass zahlreiche User auf seinen Trick hereingefallen wären, selbst dann, wenn sie normalerweise ihre PIN über ein Lesegerät mit eigener Tastatur eingäben. Schejbal warnt ferner vor der Bildschirmtastatur. Sie täusche eine höhere Sicherheit vor, könne aber bestenfalls sehr einfache Keylogger austricksen. Unter Windows ist es generell möglich, alle „Messages“ wie Tastatur- und Mausbefehle in anderen Fenstern auf dem Desktop abzufangen. Adminrechte sind dazu nicht erforderlich.

Für den Angreifer ist die PIN alleine wertlos. Wenn der Angreifer jedoch zusätzlich in den physischen Besitz oder über die virtuelle Kontrolle des Ausweis kommt, kann er im Internet die Identität des Opfers annehmen. Kontrolle über einen fremden Ausweis kann man beispielsweise durch einen Relay-Angriff (PDF) erlangen.

Jan Schejbal hatte bereits im November nur 24 Stunden nach Freigabe der AusweisApp ein Sicherheitsproblem entdeckt. Die Update-Funktion überprüfte die Echtheit des Zertifkats vor dem Download von Patches nicht. Daraufhin wurde die AusweisApp zurückgezogen und erst Anfang Januar wieder freigegeben.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago