AusweisApp hat Sicherheitslücke

Berlin - Die Software zum neuen Personalausweis, die AusweisApp, hat eine Sicherheitslücke. Jan Schejbal von der Piratenpartei wies dies in einem Experiment nach.

Er zeigte, dass über die Aktualisierungsfunktion der Software schädliche Programme auf einen PC eingeschleust werden können. Der Personalausweis selbst wird von dem Hack allerdings nicht angegriffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte, man prüfe derzeit gemeinsam mit dem Hersteller der Software, ob der beschriebene Angriff durchführbar sei und welche Gegenmaßnahmen gegebenenfalls notwendig seien. “Sollte eine Schwachstelle in der Software bestehen, wird das BSI unverzüglich eine neue Version der Software bereitstellen und die Öffentlichkeit entsprechend informieren“, sagte BSI-Sprecher Tim Griese der Nachrichtenagentur dpa. Die Sicherheitslücke steckt nach Angaben von Schejbal in der Update-Routine der Software.

Die AusweisApp baut zwar eine verschlüsselte Verbindung zum Update-Server des Bundes auf, überprüft allerdings nicht, ob das Verschlüsselungszertifikat tatsächlich von diesem Server kommt. Über eine Manipulation der Netzwerk-Verbindung (DNS-Server) könnten aber Update-Anfragen der Software an den Bundes- Server auf einen beliebigen anderen Rechner mit einem gültigen Verschlüsselungszertifikat umgeleitet werden. Von dort könnten dann schädliche Programme auf den PC mit der AusweisApp gelangen. Die Angaben Schejbals wurden von Experten des Fachportals “heise.de“ bestätigt. Die Update-Routine führt diesen Schadcode auf dem PC zwar nicht aus. Allerdings lässt die Software zu, dass beliebige Dateien auf die PC-Festplatte geschrieben werden. Mit der AusweisApp können Besitzer des neuen Personalausweises Daten des Dokumentes in die digitale Welt übertragen, um beispielsweise Online-Einkäufe vorzunehmen oder Versicherungen abzuschließen.

dpa

Auch interessant

Meistgelesene Artikel

Youtube im Inkognitomodus nutzen
In den meisten Webbrowsern können Nutzer einen Inkognitomodus aktivieren. In dieser Einstellung wird kein Surf-Verlauf anlegt. Auch YouTube bietet in der Android-App ein …
Youtube im Inkognitomodus nutzen
Erpressung nach angeblichem Pornoschauen
Zurzeit sind E-Mails mit der Drohung im Umlauf, privates Filmmaterial des Nutzers öffentlich zu machen, wenn dieser kein Geld zahle. Betroffene sollten auf den …
Erpressung nach angeblichem Pornoschauen
Firefox-Features auch auf Smartphones testen
Nutzer des Firefox-Browsers können Test-Features jetzt auch auf dem Smartphone und Tablet ausprobieren. Erweiterungen wie Notes und Lockbox lassen sich über mehrere …
Firefox-Features auch auf Smartphones testen
Letzte Chance zum Kauf? Apple nimmt offenbar beliebte iPhone-Modelle aus dem Sortiment
Laut Medienberichten plant Apple, zwei seiner iPhone-Modelle aus dem Sortiment zu nehmen. Kunden könnten nur noch wenige Wochen Zeit bleiben, um zuzuschlagen.
Letzte Chance zum Kauf? Apple nimmt offenbar beliebte iPhone-Modelle aus dem Sortiment

Kommentare

Ab dem 25.5.2018 gilt die Datenschutzgrundverordnung. Dazu haben wir unser Kommentarsystem geändert. Um kommentieren zu können, müssen Sie sich bei unserem Dienstleister DISQUS anmelden. Sollten Sie zuvor bereits ein Profil bei DISQUS angelegt haben, können Sie dieses weiter verwenden. Nutzer, die sich über den alten Portal-Login angemeldet haben, müssen sich bitte einmalig direkt bei DISQUS neu anmelden.