Neuer Angriff auf elektronischen Personalausweis entwickelt

Mit einer Phishing-Variante können Kriminelle an PIN und Daten des Dokuments kommen. Damit lassen sich Rechtsgeschäfte im Namen des Opfers abschließen. Nutzer die das ComputerBILD-Starterkit installiert haben, sind stark gefährdet.

(Bild: Bundesdruckerei)
(Bild: Bundesdruckerei)

Jan Schejbal von der Piratenpartei hat erneut eine Sicherheitslücke im neuen Personalausweis ausfindig gemacht. Damit können entfernte Websites ohne Wissen des Benutzers Daten aus dem Dokument auslesen. Der Angriff funktioniert mit Lesegeräten der Firma Reiner SCT und dem sogenannten OWOK-Plug-in. Letzteres ermöglicht es, via Javascript beliebige Befehle an die Karte zu senden.

Die OWOK-Software ist zur Nutzung des Personalausweises nicht erforderlich, jedoch wurde sie mit einem Starterkit der ComputerBILD verteilt, das zu deren Installation auffordert. Schejbal geht daher davon aus, dass dieses Browser-Plug-in auf vielen Rechnern vorhanden ist.

In einem ersten Schritt muss der Angreifer den arglosen Nutzer auf eine Website locken, die die AusweisApp vortäuscht und zur PIN-Eingabe auffordert. Das könnte etwa eine Website sein, die Inhalte ab 18 verspricht wie die von Schejbal bereits im Januar entwickelte Demo-Site fsk18.piratenpartei.de.

Schejbal wurde damals vorgeworfen, dass diese Website „nur“ die PIN des Opfers stehle, die für einen Angreifer alleine wertlos sei, da er ja keinen Zugriff auf den Ausweis selbst habe. Nun zeigt Schejbal, dass eine betrügerische Website, die in Besitz der PIN gekommen ist, mithilfe des OWOK-Plug-in auch die im Ausweis gespeicherten Daten auslesen kann. Dazu muss der Angreifer nur geschickt mit Javascript umgehen können.

Schejbal räumt ein, dass technisch versierte Nutzer stutzig werden müssten, da einerseits das AusweisApp-Symbol nicht in der Taskleiste erscheine und andererseits bei bereits erfolgter Altersverifikation die Website eigentlich keine Kommunikation mehr mit dem Lesegerät anfragen sollte. Die Mehrheit der Anwender dürfte jedoch auf den Betrug hereinfallen.

Die Angreifer könnten nun Rechtsgeschäfte über das Internet im Namen des Opfers tätigen. Da eine Identitätsprüfung via Personalausweis vor Gericht als sehr starker Anscheinsbeweis gelte, sei es schwierig nachzuweisen, dass man Opfer eines Betrugs geworden sei.

Schejbal empfiehlt grundsätzlich auf die Nutzung des neuen Personalausweises im Internet zu verzichten. Wer es dennoch tut, sollte sich ein sogenanntes Komfortlesegerät mit eigener Tastatur zulegen. Auf jeden Fall müssten alle Browser-Plugins entfernt werden, die Zugang zu Chipkartenlesern ermöglichen, ganz gleich von welchem Hersteller.

Kritik übt Schejbal auch an Reiner SCT. Das Unternehmen müsse die Sicherheitsabfrage verbessern und deutlicher formulieren. Ferner müsse ein Plug-in eingesetzt werden, dass nur vordefinierte Funktionen erlaube.

Themenseiten: Big Data, Datendiebstahl, Datenschutz, Phishing, Privacy

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neuer Angriff auf elektronischen Personalausweis entwickelt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *