Neue Sicherheitslücke wurde im "ePerso" entdeckt

Der Sicherheitsexperte Jan Schejbal macht erneut auf eine weitere Schwachstelle im elektronischen Personalausweis (ePerso) aufmerksam. Ein Angreifer könnte unter Umständen Zugriff auf den ePerso erlangen, schreibt Schejbal.
Möglicherweise könnte ein Angreifer den elektronischen Personalausweis eines Opfers im Netz dazu verwenden, um sich selbst damit auszuweisen und diesen letztlich für eigene Zwecke nutzen. Mit der Hilfe einer gefälschten Ausweis-Anwendung in Verbindung mit einer entsprechend vorbereiteten Webseite könnte das angesprochene Vorhaben in die Tat umgesetzt werden.

Ferner könnte ein Angreifer mit der Hilfe eines Lesegeräts auch an den Personalausweis der Opfer selbst gelangen. Zu diesem Zweck setzt Schejbal auf die Möglichkeiten des Browser-Plugins namens OWOK. Damit können Webseiten auf das jeweilige Lesegerät zugreifen. Seinen Informationen zufolge könnten auch weitere Plugins betroffen sein.

Um die Lücke demonstrieren zu können, hat Schejbal eine spezielle Webseite gestartet. Um in einen abgesonderten FSK-21-Bereich kommen zu können, müssen die Besucher im ersten Schritt dazu einwilligen, dass die Webseite auf den Chipkartenleser zugreifen darf. Auf diesem Wege soll die Altersverifikation erfolgen.

Anschließend muss der Ausweis auf das Lesegerät gelegt werden und die zugehörige PIN wird abgefragt. Die eigentliche Anwendung ist im Prinzip nur ein Bild auf einer Webseite. Dass man als Besucher auf einen Angriff hereingefallen ist, wird im letzten Schritt deutlich gemacht.

Hätte es sich in diesem Fall um einen echten Angriff gehandelt, so wäre die PIN jetzt in den Händen des Angreifers. Über das OWOK-Plugin könnte man nun ohne größere Umstände auf den Kartenleser und letztlich den Personalausweis zugreifen und sich damit auf anderen Webseiten ausweisen.

Der Experte selbst hält es persönlich für keine gute Idee, wenn Webseiten einen uneingeschränkten Zugriff auf Chipkarten erhalten. Besonders unvorteilhaft sei es in diesem Zusammenhang, dass unsichere Lesegeräte eingesetzt werden.

Jan Schejbal, Mitglied der Piratenpartei, machte in der Vergangenheit immer wieder auf Probleme im Hinblick auf die Sicherheit des elektronischen Personalausweises aufmerksam. Kurz nach der Veröffentlichung der zugehörigen Software konnte er darin beispielsweise eine kritische Schwachstelle ausfindig machen. Eperso Eperso
Diese Nachricht empfehlen
Kommentieren19
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Aktuelle IT-Stellenangebote

Jetzt als Amazon Blitzangebot

Ab 16:10 Uhr CUBOT Cheetah 5,5 'IPS FHD Bildschirm Smartphone 4G FDD-LTE 3G WCDMA Android 6.0 OS MTK6753A Octa-Core
CUBOT Cheetah 5,5 'IPS FHD Bildschirm Smartphone 4G FDD-LTE 3G WCDMA Android 6.0 OS MTK6753A Octa-Core
Original Amazon-Preis
199,99
Im Preisvergleich ab
?
Blitzangebot-Preis
166,59
Ersparnis zu Amazon 17% oder 33,40

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden