Der Personalausweis ist normalerweise das vom Amt ausgestellte Dokument, mit dem sich ein Bürger in Person ausweisen kann. Mit Hilfe des integrierten Chips ist das seit neustem auch online möglich. Bei solch einem wichtigen Dokument sollte man doch davon ausgehen, dass dieser Vorgang einwandfrei funktioniert und sicher ist. In einem Blog-Eintrag von Sicherheitsforschern des SEC-Consult, beweist man allerdings genau das Gegenteil.

Um die Attacke auf die Ausweisdokumente zu verstehen, muss man wissen, dass sich in den neusten Personalausweisen ein RFID-Chip befindet. Im Zusammenspiel mit einem Programm, beispielsweise “AusweisApp 2” sowie einem passenden Kartenleser kann eine Webanwendung die Identität mit Hilfe dieses Chips verifizieren.

So kann man sich mit dieser Methode beim Steuerportal Elster ausweisen und die Legitimation läuft dabei über einen vertrauenswürdigen Server ab. Bei Bestätigung teilt das Programm die Identität der Webanwendung, wie dem Elster Portal, das Ergebnis mit. Damit Angreifer Anfragen nicht manipulieren können, signiert der Server diese.

Die Sicherheitsforscher des SEC-Consult konnten in diesem Prozess nun eine Schwachstelle im Governikus Autent SDK auf der Seite der Webanwendung ausfindig machen. Diese erlaubt es einem Angreifer, die übermittelten Ausweisdaten beliebig zu manipulieren, ohne dass die digitale Signatur serverseitig ungültig wird. So können beispielsweise einzelne Daten verändert, das Alter gefälscht oder ein komplett neuer Bürger erschaffen werden.

Die technische Tiefe führen die Sicherheitsforscher in ihrem Blogeintrag weiter aus und erläutern auch Protokolle und Programmierkniffe. Dort heißt es weiter:

“Durch eine Schwachstelle war es möglich, den beiden Verarbeitungsschritten unterschiedliche Daten zu senden. Für die Prüfung im ersten Schritt kann ein Angreifer gültige Daten mit einer gültigen Signatur senden. Da in diesem Fall die Signaturprüfung erfolgreich ist, wird die Verarbeitung fortgesetzt. Für den zweiten Schritt sendet der Angreifer manipulierte Daten ohne eine Signatur. Diese manipulierten Daten werden von der Anwendung als gültig angenommen und für die weitere Verarbeitung verwendet.”

Wie das SEC-Consult herausgefunden hat, sind von dieser Schwachstelle alle Webanwendungen bedroht, die das SDK bis einschließlich Version 3.8.1 einsetzen. Man hatte diesen Umstand schon im Sommer dem CERT-Team, die dem Bundesamt für Sicherheit in der Informationstechnik angehören, mitgeteilt, die diese Info an alle betroffenen Anbieter weitergeleitet hatten. Diese sollten dann auf die nächst höhere Version des SDK upgraden, die wieder abgesichert ist. Damit hat sich das Problem dann offenbar erledigt.

via: sec-consult