Mittwoch, 10. November 2010
Attacke auf den heimischen PC möglich: Lücke in der AusweisApp
Besitzer des neuen Personalausweises sollten Vorsicht bei der Benutzung der dazugehörigen Software walten lassen. Über die Aktualisierungsfunktion der AusweisApp sind Attacken auf den heimischen PC möglich. Die Bundesregierung lässt den Vorgang prüfen und stellt gegebenenfalls eine neue Version der Software zur Verfügung.Die Software zum neuen Personalausweis, die AusweisApp, hat eine Sicherheitslücke. Jan Schejbal vom Chaos Computer Club wies in einem Experiment nach, dass über die Aktualisierungsfunktion der Software schädliche Programme auf einen Personal Computer eingeschleust werden können. Der Personalausweis selbst wird von dem Hack allerdings nicht angegriffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kündigte eine Überprüfung an.
Auch Frau Mustermann sollte Vorsicht walten lassen.
(Foto: picture alliance / dpa)
Die Sicherheitslücke steckt nach Angaben von Schejbal in der Update-Routine der Software. Die AusweisApp baut zwar eine verschlüsselte Verbindung zum Update-Server des Bundes auf, überprüft allerdings nicht, ob das Verschlüsselungszertifikat tatsächlich von diesem Server kommt. Über eine Manipulation der Netzwerk-Verbindung (DNS-Server) könnten aber Update-Anfragen der Software an den Bundes- Server auf einen beliebigen anderen Rechner mit einem gültigen Verschlüsselungszertifikat umgeleitet werden. Von dort könnten dann schädliche Programme auf den PC mit der AusweisApp gelangen. Computerexperten bestätigten die Angaben Schejbals
Die Update-Routine führt diesen Schadcode auf dem PC zwar nicht aus. Allerdings lässt die Software zu, dass beliebige Dateien auf die PC-Festplatte geschrieben werden.
Mit der AusweisApp können Besitzer des neuen Personalausweises Daten des Dokumentes in die digitale Welt übertragen, um beispielsweise Online-Einkäufe vorzunehmen oder Versicherungen abzuschließen.
dpa
