AusweisApp des ePerso nach wenigen Stunden geknackt
Die Anwendungssoftware des neuen elektronischen Personalausweises, die sogenannte "AusweisApp", konnte bereits wenige Stunden nach ihrem Release manipuliert und somit als nicht sicher entlarvt werden. So konnte über die Updatefunktion Malware auf den Rechner übertragen werden.
Die AusweisApp war gerade frisch draußen, als sich Jan Schejbal daran machte, sie auf mögliche Sicherheitslücken zu testen. Er war sich sicher, dass es nach der Veröffentlichung am gestrigen Abend für ihn eine "lange Nacht" werden würde. Aber es war auch eine erfolgreiche Nacht. Das Mitglied der Piratenpartei schaffte es nämlich in kurzer Zeit, zu beweisen, dass die freigegebene Software Sicherheitslücken aufweist. Diese ermöglichen es, Schadsoftware auf dem Computer des Nutzers zu installieren.
Der Ansatzpunkt war dabei die Updatefunktion, da ein Angreifer, wenn er sie kontrollieren kann, über sie Schadsoftware auf den Rechner übertragen kann. Um das zu verhindern, wird vom Updateserver mittels einer HTTPS-geschützen Verbindung eine Versionsdatei geholt. Außerdem wird vom Client geprüft, ob das Zertifikat gültig ist. Genau hier scheint aber die Lücke zu sein. Es wird nämlich nicht überprüft, ob das Zertifikat auch zu dem Servernamen passt, was bedeutet, dass man zur Manipulation lediglich irgendein gültiges Zertifikat benötigt. So kann man die Updatefunktion dazu bringen, eine Datei von einer beliebigen URL herunterzuladen. Die Funktion erwartet eine ZIP-Datei, die entpackt und in der eine .msi-Datei ausgeführt werden soll. Vor dem Ausführen wird aber noch eine Signatur geprüft. Das kann wiederum umgangen werden, indem per Hexeditor ein "../../" in die ZIP-Datei einbaut und so aus dem temporären Verzeichnis ausbricht und dann Dateien ins Dateisystem schreiben kann. Die Signatur wird nämlich erst überprüft, wenn die ZIP-Datei bereits entpackt ist. Und schon ist die Schadsoftware im Rechner. Der Test erfolgte mit der aktuellen AusweisApp, sie identifizierte sich bei der Installation als 1.0.1, beim Update als 1.0.0.
"Leider konnte ich nur die AusweisApp testen, weil ich weder den ePerso noch ein entsprechendes Lesegerät habe", so Schejbal. "Es bestehen aber garantiert noch größere Sicherheitslücken. Der eigentliche Kern des ePerso-Systems - der Chip und die Protokolle - ist zwar sicher konstruiert, aber im Umfeld gibt es Schwachstellen. Ich bin sicher, dass es auch möglich ist, die PIN und eventuell die aufgedruckte Kartenzugangsnummer zu entwenden, auch ohne dass dafür der Rechner des Nutzers verseucht werden muss. Ein anderer Angriff erlaubt es gegebenenfalls auch, dem Nutzer vorzutäuschen, dass er sich für etwas Ungefährliches ausweist, während der Angreifer mit dessen Identität einkaufen geht. Kurz: Die Behauptung des Innenministeriums, die Verwendung des ePerso sei sicher, ist – wie zu erwarten war – absolut unhaltbar."
Die Piratenpartei hatte bereits zuvor vor Sicherheitsrisiken beim neuen elektronischen Personalausweis gewarnt und den Bürgern empfohlen, sich vor dessen Einführung den alten noch einmal um zehn Jahre zu verlängern.
Source: http://www.gulli.com/news/ausweisapp-des-eperso-nach-wenigen-stunden-geknackt-2010-11-09
