Neue Sicherheitslücke wurde im "ePerso" entdeckt

Der Sicherheitsexperte Jan Schejbal macht erneut auf eine weitere Schwachstelle im elektronischen Personalausweis (ePerso) aufmerksam. Ein Angreifer könnte unter Umständen Zugriff auf den ePerso erlangen, schreibt Schejbal.
Möglicherweise könnte ein Angreifer den elektronischen Personalausweis eines Opfers im Netz dazu verwenden, um sich selbst damit auszuweisen und diesen letztlich für eigene Zwecke nutzen. Mit der Hilfe einer gefälschten Ausweis-Anwendung in Verbindung mit einer entsprechend vorbereiteten Webseite könnte das angesprochene Vorhaben in die Tat umgesetzt werden.

Ferner könnte ein Angreifer mit der Hilfe eines Lesegeräts auch an den Personalausweis der Opfer selbst gelangen. Zu diesem Zweck setzt Schejbal auf die Möglichkeiten des Browser-Plugins namens OWOK. Damit können Webseiten auf das jeweilige Lesegerät zugreifen. Seinen Informationen zufolge könnten auch weitere Plugins betroffen sein.

Um die Lücke demonstrieren zu können, hat Schejbal eine spezielle Webseite gestartet. Um in einen abgesonderten FSK-21-Bereich kommen zu können, müssen die Besucher im ersten Schritt dazu einwilligen, dass die Webseite auf den Chipkartenleser zugreifen darf. Auf diesem Wege soll die Altersverifikation erfolgen.

Anschließend muss der Ausweis auf das Lesegerät gelegt werden und die zugehörige PIN wird abgefragt. Die eigentliche Anwendung ist im Prinzip nur ein Bild auf einer Webseite. Dass man als Besucher auf einen Angriff hereingefallen ist, wird im letzten Schritt deutlich gemacht.

Hätte es sich in diesem Fall um einen echten Angriff gehandelt, so wäre die PIN jetzt in den Händen des Angreifers. Über das OWOK-Plugin könnte man nun ohne größere Umstände auf den Kartenleser und letztlich den Personalausweis zugreifen und sich damit auf anderen Webseiten ausweisen.

Der Experte selbst hält es persönlich für keine gute Idee, wenn Webseiten einen uneingeschränkten Zugriff auf Chipkarten erhalten. Besonders unvorteilhaft sei es in diesem Zusammenhang, dass unsichere Lesegeräte eingesetzt werden.

Jan Schejbal, Mitglied der Piratenpartei, machte in der Vergangenheit immer wieder auf Probleme im Hinblick auf die Sicherheit des elektronischen Personalausweises aufmerksam. Kurz nach der Veröffentlichung der zugehörigen Software konnte er darin beispielsweise eine kritische Schwachstelle ausfindig machen. Eperso Eperso
Diese Nachricht empfehlen
Kommentieren19
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:30 Uhr EasyAcc Energie Cube Bluetooth Lautsprecher mit er LED, Mini Wireless boxen mit Mikrofon, Schwar
EasyAcc Energie Cube Bluetooth Lautsprecher mit er LED, Mini Wireless boxen mit Mikrofon, Schwar
Original Amazon-Preis
24,95
Im Preisvergleich ab
?
Blitzangebot-Preis
19,98
Ersparnis zu Amazon 0% oder 4,97

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden