NDS:Presseteam/Entwuerfe2010/PM 2010-48

Diese Pressemitteilung wurde bereits versendet. Editieren im Wiki bringt also nichts mehr. Nachbearbeitungen oder Auflistungen von Leuten, die unsere PM genutzt haben, sind sehr erwünscht.

Piratenpartei beweist: "AusweisApp" des ePerso ist unsicher

Sicherheitslücke in AusweisApp wenige Stunden nach Veröffentlichung von PIRATEN aufgedeckt

Noch in der Nacht nach ihrem Erscheinen hat Jan Schejbal, Mitglied der Piratenpartei, eine Sicherheitslücke in der AusweisApp (*), der Anwendungssoftware des ePerso, aufgedeckt. Durch eine Schwachstelle in der automatischen Update-Funktion können Angreifer auf den Rechner des Nutzers Schadsoftware aufspielen und so die Kontrolle über das Gerät erlangen. Paradoxerweise wird nun gerade die Sicherheit des Computers selbst, die auch das Innenministerium als Voraussetzung für die sichere Nutzung des ePerso sieht, durch die AusweisApp unterwandert.

"Leider konnte ich nur die AusweisApp testen, weil ich weder den ePerso noch ein entsprechendes Lesegerät habe", erklärt Jan Schejbal. "Es bestehen aber garantiert noch größere Sicherheitslücken. Der eigentliche Kern des ePerso-Systems - der Chip und die Protokolle - ist zwar sicher konstruiert, aber im Umfeld gibt es Schwachstellen. Ich bin sicher, dass es auch möglich ist, die PIN und eventuell die aufgedruckte Kartenzugangsnummer zu entwenden, auch ohne dass dafür der Rechner des Nutzers verseucht werden muss. Ein anderer Angriff erlaubt es gegebenenfalls auch, dem Nutzer vorzutäuschen, dass er sich für etwas Ungefährliches ausweist, während der Angreifer mit dessen Identität einkaufen geht. Kurz: Die Behauptung des Innenministeriums, die Verwendung des ePerso sei sicher, ist – wie zu erwarten war – absolut unhaltbar."

Die AusweisApp aktualisiert sich automatisch bei jedem Start. Dabei versucht sie, eine sichere Verbindung zum Updateserver aufzubauen. Mit einer Reihe von Tricks kann ein Angreifer, der die Internetverbindung zum Beispiel über ein ungesichertes W-LAN Netzwerk oder einen manipulierten DNS-Server kontrolliert, die vermeintlich sichere Verbindung umleiten und ein gefälschtes Updatepaket einschleusen. Durch einen weiteren Fehler kann auch die zweite Sicherheitsebene umgangen werden, wodurch der Angreifer beispielsweise eigene (Schad-)Software installieren kann. Eine ausführliche technische Beschreibung des Angriffs mitsamt der zum Ausprobieren nötigen Dateien hat Jan Schejbal in seinem Blog veröffentlicht, [1] ein Pressefoto finden Sie auf Pirate-Images.net. [2]

Die Piratenpartei, die sich gegen den ePerso ausspricht, hatte vor seiner Einführung gewarnt und allen Bürgern geraten, sich rechtzeitig noch einen alten Ausweis ausstellen zu lassen. Angesichts der bestehenden Sicherheitslücken sollten Anwender vom Einsatz des Personalausweises am Computer absehen, bis eine sichere Version der dazugehörigen Software zur Verfügung steht. [3]

• Software zur Nutzung des neuen Personalausweis am Computer, früher unter dem Namen "Bürgerclient" angekündigt.

[1] http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/

[2] http://pirate-images.net/displayimage.php?pos=-397

[3] http://www.piratenpartei.de/1010296-Wirklich-frei-bleiben-mit-dem-alten-Personalausweis

Verweise ins Internet:

Für Journalisten allgemein verwendbares Bildmaterial finden Sie unter: http://www.piratenpartei.de/presse/bildmaterial

Die Piratenpartei Deutschland (PIRATEN) beschäftigt sich mit den entscheidenden Themen des 21. Jahrhunderts. Das Recht auf Privatsphäre, eine transparente Verwaltung, eine Modernisierung des Urheberrechtes, freie Kultur, freies Wissen und freie Kommunikation sind die grundlegenden Ziele der PIRATEN.

Bei der Bundestagswahl im September 2009 erreichte die Piratenpartei aus dem Stand 2,0 Prozent bzw. 845.904 Stimmen. Im Vergleich zur Europawahl im Juni 2009 (0,9 Prozent, 229.464 Stimmen) konnten die Piraten die Zahl ihrer Stimmen sogar fast vervierfachen. Die Piratenpartei hat mittlerweile über 11.000 Mitglieder.

Die Piratenpartei ist in den Kommunalparlamenten von Aachen und Münster vertreten.

Quellen (kein Teil der Pressemitteilung)