Die für die Entwicklung der Anwendungssoftware für den neuen Personalausweis (ePerso) zuständigen Firmen OpenLimit SignCubes und Siemens IT Solutions and Services haben beim Bundesamt für Sichericht in der Informationstechnik (BSI) eine neue Version der AusweisApp zur Prüfung eingereicht. Keine 24 Stunden nach Freigabe der ersten Fassung war im Internet ein Exploit aufgetaucht, der zwei Sicherheitslücken in der Update-Funktion ausnutzte. Das BSI zog die Software daraufhin zurück.
Die von Jan Schejbal aufgedeckten Schwachstellen, die sich mittels DNS-Manipulation und Directory Traversal zum Einschleusen von Schadcode missbrauchen lassen, wurden in der überarbeiteten Version entfernt, wie das BSI mitteilt. Man unterziehe das Update derzeit umfangreichen Tests. Sind diese abgeschlossen, wird die AusweisApp wieder zum Download angeboten.
Das BSI hat laut eigener Aussage auch die mit dem Updateverfahren verbundenen Prozesse eingehend überprüft, um künftig von Nutzern und Diensteanbietern gemeldete Probleme mit der Software schnellstmöglich auswerten und erforderliche Aktualisierungen bereitstellen zu können. Zudem sind zu regelmäßigen Terminen kumulierte Updates geplant. Sie sollen weitere etwaige Schwachstellen schließen und die Funktionalität, Benutzerfreundlichkeit sowie Performance der AusweisApp verbessern. Bei besonderen Vorfällen könnten Aktualisierungen auch über außerplanmäßige Hotfixes erfolgen.
Das BSI räumt ein, „dass weitere Probleme auftreten können, die auch bei sorgfältiger Qualitätssicherung nicht vollständig vorhersehbar sind“. Das sei bei einer erstmaligen Bereitstellung einer komplexen Software, die auf einer Vielzahl unterschiedlicher Gerätekonfigurationen einsetzbar sein muss, nicht auszuschließen. Die Behörde ruft Nutzer dazu auf, per E-Mail an ePA@bsi.bund.de oder über die Website ausweisapp.bund.de Rückmeldungen zu geben.
Bürger sollen die Applikation in Kombination mit dem ePerso künftig nutzen können, um sich online zu identifizieren und Geschäfte abzuschließen. Auch wenn die entdeckten Sicherheitslücken nicht in direktem Zusammenhang mit dem neuen Personalausweis stehen, ist es schon überraschend, dass sie dem BSI im ersten Prüfungsprozess entgangen waren.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.