-
-
folge blueBit auf Facebook -
folge blueBit auf Twitter@blueBit_News folgen -
folge blueBit auf Google Plus
-
von Robert Klatt •
Eine Sicherheitslücke erlaubt es den Forschern sich online als beliebige Person auszuweisen. Der Hersteller bestreitet dies jedoch.
In Deutschland ist es seit 2010 möglich bei der Beantragung eines neuen Personalausweises auch eine Online-Identifizierungsoption aktivieren zu lassen, die es über eine RDID-Chip im Ausweisdokument ermöglicht sich bei verschiedene staatlichen aber auch privaten Organisationen auszuweisen. Dies sollte die manuelle Kontrolle des Dokuments überflüssig machen und den Ausweis auch online einen höheren Stellenwert einräumen.
Nun haben Sicherheitsforscher von SEC-Consult gezeigt, dass diese Funktion alles andere als sicher ist. Den Sicherheitsforschern ist es gelungen sich online als beliebige Person auszuweisen. Demonstriert wurde dies mit der Anmeldung als bei einem Dienst als Johann Wolfgang von Goethe.
Den genauen Ablauf des Angriffs haben die Sicherheitsforscher über den Unternehmensblog veröffentlicht. Ausgenutzt wurde dafür eine Sicherheitslücke in der Software 'Governikus Autent SDK'.
Eigentlich soll ein E-ID-Client wie beispielsweise der AusweisApp2 in Kombination mit einer digitalen Signatur und einem Authentifizierungsserver verhindern, dass manipulierte Daten es ermöglichen sich als andere Person bei einer Webanwendung auszuweisen. Das verändern von Daten wie dem Namen oder dem Geburtstag soll eigentlich dafür sorgen, dass die digitale Signatur nicht länger gültig ist und so den Ausweisversuch abweisen.
Die in der Software gefundene Schwachstelle sorgt dafür, dass dies Sicherheitsfunktion umgangen werden kann. Es konnten so manipulierten Daten wie der falsche Name verschickt werden, ohne dass dabei die digitale Signatur verändert wurde. Kriminelle könnten sich so online als beliebige Person ausgeben und ihre Identität über die als sicher angenommen Ausweisfunktion bestätigen.
Die Sicherheitslücke ist in allen Anwendungen zu finden, die auf Governikus-Autent-SDK bis Version 3.8.1 basieren.
Die Sicherheitslücke wurde von SEC-Consult laut Unternehmensangaben bereits im Juli an den Bund gemeldet. Die inzwischen verfügbare Version von Governikus-Autent-SDK verfügt nicht mehr über die Sicherheitslücke. Trotz der Informationen an die zahlreichen Nutzer, werden jedoch bei vielen Webanwendungen noch alte unsichere Versionen des SDK eingesetzt.
Die Entwickler von Governikus-Autent-SDK bestreiten die Sicherheitslücke. Sie haben in einer Stellungnahme erklärt, dass das Problem nur in einer Demoversion ihrer Software besteht und es im Realbetrieb aufgrund weitere Sicherheitsabfragen keine Gefahr gab.