• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
"Predictive Policing": Algorithmus zur Verbrechens ...

von Vera Bauer

Next Story
Internetausfall in Seoul: "Es war wie eine moderne ...

von Vera Bauer

Datenschutz

Goethe lebt? – Identitätsdiebstahl bei Online-Ausweisfunktion

Sicherheitsforscher der SEC-Consult haben eine Schwachstelle bei der Online-Übertragung von Ausweisdokumenten gefunden. So konnten sie sich erfolgreich als Johann Wolfgang von Goethe ausgeben.

von Vera Bauer am 2. Dezember 2018
  • Email
  • @ver_bloggt

Der Personalausweis ist normalerweise das vom Amt ausgestellte Dokument, mit dem sich ein Bürger in Person ausweisen kann. Mit Hilfe des integrierten Chips ist das seit neustem auch online möglich. Bei solch einem wichtigen Dokument sollte man doch davon ausgehen, dass dieser Vorgang einwandfrei funktioniert und sicher ist. In einem Blog-Eintrag von Sicherheitsforschern des SEC-Consult, beweist man allerdings genau das Gegenteil.

Um die Attacke auf die Ausweisdokumente zu verstehen, muss man wissen, dass sich in den neusten Personalausweisen ein RFID-Chip befindet. Im Zusammenspiel mit einem Programm, beispielsweise „AusweisApp 2“ sowie einem passenden Kartenleser kann eine Webanwendung die Identität mit Hilfe dieses Chips verifizieren.

So kann man sich mit dieser Methode beim Steuerportal Elster ausweisen und die Legitimation läuft dabei über einen vertrauenswürdigen Server ab. Bei Bestätigung teilt das Programm die Identität der Webanwendung, wie dem Elster Portal, das Ergebnis mit. Damit Angreifer Anfragen nicht manipulieren können, signiert der Server diese.

Die Sicherheitsforscher des SEC-Consult konnten in diesem Prozess nun eine Schwachstelle im Governikus Autent SDK auf der Seite der Webanwendung ausfindig machen. Diese erlaubt es einem Angreifer, die übermittelten Ausweisdaten beliebig zu manipulieren, ohne dass die digitale Signatur serverseitig ungültig wird. So können beispielsweise einzelne Daten verändert, das Alter gefälscht oder ein komplett neuer Bürger erschaffen werden.

Die technische Tiefe führen die Sicherheitsforscher in ihrem Blogeintrag weiter aus und erläutern auch Protokolle und Programmierkniffe. Dort heißt es weiter:

„Durch eine Schwachstelle war es möglich, den beiden Verarbeitungsschritten unterschiedliche Daten zu senden. Für die Prüfung im ersten Schritt kann ein Angreifer gültige Daten mit einer gültigen Signatur senden. Da in diesem Fall die Signaturprüfung erfolgreich ist, wird die Verarbeitung fortgesetzt. Für den zweiten Schritt sendet der Angreifer manipulierte Daten ohne eine Signatur. Diese manipulierten Daten werden von der Anwendung als gültig angenommen und für die weitere Verarbeitung verwendet.“

Wie das SEC-Consult herausgefunden hat, sind von dieser Schwachstelle alle Webanwendungen bedroht, die das SDK bis einschließlich Version 3.8.1 einsetzen. Man hatte diesen Umstand schon im Sommer dem CERT-Team, die dem Bundesamt für Sicherheit in der Informationstechnik angehören, mitgeteilt, die diese Info an alle betroffenen Anbieter weitergeleitet hatten. Diese sollten dann auf die nächst höhere Version des SDK upgraden, die wieder abgesichert ist. Damit hat sich das Problem dann offenbar erledigt.

via: sec-consult

Trending Cars
  • Tesla Model 3
  • Opel Ampera-e
  • Tesla Model X
  • Porsche Mission E
Automarken
  • Mercedes-Benz
  • Tesla
  • Audi
  • Volkswagen – VW
  • BMW
  • Ford
  • Porsche
  • Opel
Related Video
video
Microsoft Family Safety – Kindersicherung jetzt auch von Microsoft
Wie sicher sind sichere Passwörter?
Datenschutz Security
Ähnliche Artikel
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
18. Februar 2022
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
16. Februar 2022
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
Google verspricht transparente Entwicklung von neuen Trackings-Standards
15. Februar 2022
Google verspricht transparente Entwicklung von neuen Trackings-Standards
Mozilla und Meta arbeiten an neuartigem Weg zum Ausspielen von Werbung
14. Februar 2022
Mozilla und Meta arbeiten an neuartigem Weg zum Ausspielen von Werbung
Neueste Tests
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
9.1
Für den persönlichen Gebrauch ist Lima Ultra eine hervorragende Lösung, um jederzeit Zugriff auf die ...
Lima Ultra – persönlicher Cloud-Speicher im Test
6. März 2017
Lima Ultra – persönlicher Cloud-Speicher im Test

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2022 Mobilegeeks.de, Alle Rechte vorbehalten
 Tweet
 Teilen
 Tweet
 Teilen
 Tweet
 Teilen
 Xing