Neue Sicherheitslücke wurde im "ePerso" entdeckt
Möglicherweise könnte ein Angreifer den elektronischen Personalausweis eines Opfers im Netz dazu verwenden, um sich selbst damit auszuweisen und diesen letztlich für eigene Zwecke nutzen. Mit der Hilfe einer gefälschten Ausweis-Anwendung in Verbindung mit einer entsprechend vorbereiteten Webseite könnte das angesprochene Vorhaben in die Tat umgesetzt werden.
Ferner könnte ein Angreifer mit der Hilfe eines Lesegeräts auch an den Personalausweis der Opfer selbst gelangen. Zu diesem Zweck setzt Schejbal auf die Möglichkeiten des Browser-Plugins namens OWOK. Damit können Webseiten auf das jeweilige Lesegerät zugreifen. Seinen Informationen zufolge könnten auch weitere Plugins betroffen sein.
Um die Lücke demonstrieren zu können, hat Schejbal eine spezielle Webseite gestartet. Um in einen abgesonderten FSK-21-Bereich kommen zu können, müssen die Besucher im ersten Schritt dazu einwilligen, dass die Webseite auf den Chipkartenleser zugreifen darf. Auf diesem Wege soll die Altersverifikation erfolgen.
Anschließend muss der Ausweis auf das Lesegerät gelegt werden und die zugehörige PIN wird abgefragt. Die eigentliche Anwendung ist im Prinzip nur ein Bild auf einer Webseite. Dass man als Besucher auf einen Angriff hereingefallen ist, wird im letzten Schritt deutlich gemacht.
Hätte es sich in diesem Fall um einen echten Angriff gehandelt, so wäre die PIN jetzt in den Händen des Angreifers. Über das OWOK-Plugin könnte man nun ohne größere Umstände auf den Kartenleser und letztlich den Personalausweis zugreifen und sich damit auf anderen Webseiten ausweisen.
Der Experte selbst hält es persönlich für keine gute Idee, wenn Webseiten einen uneingeschränkten Zugriff auf Chipkarten erhalten. Besonders unvorteilhaft sei es in diesem Zusammenhang, dass unsichere Lesegeräte eingesetzt werden.
Jan Schejbal, Mitglied der Piratenpartei, machte in der Vergangenheit immer wieder auf Probleme im Hinblick auf die Sicherheit des elektronischen Personalausweises aufmerksam. Kurz nach der Veröffentlichung der zugehörigen Software konnte er darin beispielsweise eine kritische Schwachstelle ausfindig machen.
Ferner könnte ein Angreifer mit der Hilfe eines Lesegeräts auch an den Personalausweis der Opfer selbst gelangen. Zu diesem Zweck setzt Schejbal auf die Möglichkeiten des Browser-Plugins namens OWOK. Damit können Webseiten auf das jeweilige Lesegerät zugreifen. Seinen Informationen zufolge könnten auch weitere Plugins betroffen sein.
Um die Lücke demonstrieren zu können, hat Schejbal eine spezielle Webseite gestartet. Um in einen abgesonderten FSK-21-Bereich kommen zu können, müssen die Besucher im ersten Schritt dazu einwilligen, dass die Webseite auf den Chipkartenleser zugreifen darf. Auf diesem Wege soll die Altersverifikation erfolgen.
Anschließend muss der Ausweis auf das Lesegerät gelegt werden und die zugehörige PIN wird abgefragt. Die eigentliche Anwendung ist im Prinzip nur ein Bild auf einer Webseite. Dass man als Besucher auf einen Angriff hereingefallen ist, wird im letzten Schritt deutlich gemacht.
Hätte es sich in diesem Fall um einen echten Angriff gehandelt, so wäre die PIN jetzt in den Händen des Angreifers. Über das OWOK-Plugin könnte man nun ohne größere Umstände auf den Kartenleser und letztlich den Personalausweis zugreifen und sich damit auf anderen Webseiten ausweisen.
Der Experte selbst hält es persönlich für keine gute Idee, wenn Webseiten einen uneingeschränkten Zugriff auf Chipkarten erhalten. Besonders unvorteilhaft sei es in diesem Zusammenhang, dass unsichere Lesegeräte eingesetzt werden.
Jan Schejbal, Mitglied der Piratenpartei, machte in der Vergangenheit immer wieder auf Probleme im Hinblick auf die Sicherheit des elektronischen Personalausweises aufmerksam. Kurz nach der Veröffentlichung der zugehörigen Software konnte er darin beispielsweise eine kritische Schwachstelle ausfindig machen.
Kommentar abgeben
Netiquette beachten!
Jetzt als Amazon Blitzangebot
Ab 08:05 Uhr 
Blackview BV7100 Outdoor Smartphone ohne Vertrag, 13000mAh Akku 33W Schnellladung, IP68/IP69K Robust Handy, Android 12 Helio G85 6 GB+128GB, 6,58 FHD+ Display, 12 MP Triple Kamera, GPS NFC Grün
Blackview BV7100 Outdoor Smartphone ohne Vertrag, 13000mAh Akku 33W Schnellladung, IP68/IP69K Robust Handy, Android 12 Helio G85 6 GB+128GB, 6,58 FHD+ Display, 12 MP Triple Kamera, GPS NFC Grün Original Amazon-Preis
249,99 €
Blitzangebot-Preis
220,99 €
Ersparnis zu Amazon 12% oder 29 €
Nur bei Amazon erhältlich
Amazon.de Neueste Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
- Sicherheit & Backup:
Neue Nachrichten
Beliebte Nachrichten
Videos
Folgt uns auf Twitter
Meist kommentierte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen