News Online-Personalausweis: Identitätsdiebstahl durch Schwachstelle im eID-Verfahren möglich

[Andy]

Ein Hacker hat eine Schwachstelle im eID-Verfahren des Personalausweises identifiziert, durch die Angreifer die Identität von Nutzern übernehmen und unter ihrem Namen digitale Behördengänge durchführen kann. Nötig ist dafür aber ein Zugriff auf das Smartphone, berichtet der Spiegel.

Zur News: Online-Personalausweis: Identitätsdiebstahl durch Schwachstelle im eID-Verfahren möglich

 

[Giggity]

Genau das ist der Grund das nicht zu nutzen.

 

[kicos018]

@Andy

die elektronische Patientenakte bei einer Sparkasse.

Vermute mal hier ist Krankenkasse gemeint?

 

[DickerPirat]

Solange ich es verhindern kann, werde ich meinen Personalausweis bis an mein Lebensende nicht digitalisieren.

So selten wie ich mich mit einem Personalausweis identifizieren musste, werde ich das Ding auch aus dem Geldbeutel ziehen können.

 

[Ruebennase]

Experten haben es vor Jahren gesagt auf Kurz oder Lang ist es Möglich damit schund zu betreiben aber nein unsere Fachleute in der Politik wissen es wie immer alles Schlechter.

 

[Banned]

Der Spiegel, LOL

Dem Spiegel "gemeldet" ist auch lustig formuliert. Das werden einfach die ersten gewesen sein, die zu einer für den Hinweisgeber akzeptablen Summe zugeschlagen haben.


PS: Ich wohne zum Glück in einer beschaulichen Gegend, wo man nicht lange auf Termine in Behörden warten muss. Den elektronischen Perso habe ich noch nie benötigt und deshalb ist die Funktion bei mir auch deaktiviert (was in Zukunft m.W. aber wohl nicht mehr möglich sein wird bei Neubeantragung).

 

[|Moppel|]

Wenn man wichtige Dinge aus Komfortgründen auf einem Smartphone machen möchte, dann muss man auf das Smartphone aufpassen.

surprised pikachu


Ich mag meinen digitalisierten Perso sehr. Hat mir schon vieles erleichtert.

 

[Dalek]

Das ist halt ein grundsätzliches Problem wenn man kein vertrauenswürdiges Endgerät hat. Man müsste hier einen komplett separates Gerät haben das den Ausweis und die PIN handhabt und anzeigen kann was genau gerade bestätigt wird. Das erscheint mir halt nicht praktikabel wenn man spezielle Hardware dafür braucht.

Generell ist das System recht sicher, gegen Angriffe bei denen dein ganzer Rechner bzw. Handy kompromittiert bräuchte es einen zweiten Faktor. Eigentlich könnten die das schon teilweise machen bei dem Modus in dem man am PC die Anwendung benutzt und das Handy als Kartenleser nimmt. Da könnten sie die Anfrage auf dem Handy statt auf dem PC darstellen damit man genau weiß was man da authorisiert. Hilft aber wieder nicht gegen ein kompromittiertes Handy.

Ich finde das System generell absolut sinnvoll und längst überfällig. Alle Behörden sollten es unterstützen damit man Online dort einloggen kann ohne das man sich irgendwie umständlich einen Account zulegt oder per Post Zugangsdaten bekommt.

 

[iGameKudan]

Und genau deshalb graust es mich schon vorm Sideloading bei iOS.

Im Wesentlichen scheint hier ja speziell der offene Quellcode bzw. die Gefahr über eine modifizierte Ausweis-App das Problem zu sein. Zumindest wurde über diesen Weg der Angriff getestet.

Wir mögen hier weniger empfänglich für etwaige Fake-/Phisingapps bzw. misstrauischer gegenüber Apps aus Drittquellen sein, aber wenn Oma Krawuttke bei der Suche diese tolle bessere Ausweis-App angepriesen bekommt und ohne blassen Schimmer dem ganzen Glauben schenkt… Oder aus einer sonstigen Drittquelle eine modifizierte App gezogen wird…

Und eine verlorene echte digitale Identität ist heutzutage vermutlich mit das Beschissenste, was einem passieren kann.

 

[coxon]

eID mag vielleicht nicht zu 100% sicher sein, aber wenn ich an unzählige Behördengänge rund um mein Auto denke, mache ich das dann doch lieber vom Rechner aus als in diesen lausigen Ämtern meine Zeit zu verschwenden, von den Fahrten ganz zu schweigen.

Wer an mein Smartphone möchte, der muss erst mal an mir vorbei.

 

[Termy]

Genau das ist der Grund das nicht zu nutzen.

Nein, das ist nur ein weiterer Beweis dafür, dass eine gewisse Sorgfalt in der IT unumgänglich ist.
Wenn ein DAU sich eine Fake-App runterlädt und verwendet, dann ist dieser meines Erachtens vollkommen selbst schuld. Da stimme ich dem BSI ausnahmsweise mal absolut zu.

Das ist halt ein grundsätzliches Problem wenn man kein vertrauenswürdiges Endgerät hat. Man müsste hier einen komplett separates Gerät haben das den Ausweis und die PIN handhabt und anzeigen kann was genau gerade bestätigt wird. Das erscheint mir halt nicht praktikabel wenn man spezielle Hardware dafür braucht.

Das gab es ja schon. Und wurde - oh wunder - kaum benutzt.
Da ist mir die AusweisApp tausend mal lieber.
Zumal diese ein Musterbeispiel dafür ist, wie man ein solches Projekt richtig umsetzt (FOSS, keine Abhängigkeit von Google Services etc)

aber wenn Oma Krawuttke bei der Suche diese tolle bessere Ausweis-App angepriesen bekommt und ohne blassen Schimmer dem ganzen Glauben schenkt…

Ganz ehrlich - wenn jemand nicht bereit ist, ein Mindestmaß an Sorgfalt walten zu lassen (und dazu gehört eben auch, sich zu informieren), dann soll dieser jemand eben den klassischen Weg gehen und muss auf den Komfort von eID verzichten...

 

[ReactivateMe347]

Ist das nicht die altbekannte "Benutze keinen Kartenleser ohne eigenes PIN-Pad (="Basis-Kartenleser")" - "Lücke", die seit weit über 10 Jahren bekannt ist?
https://netzpolitik.org/2013/basisl...e-des-elektronischen-neuen-personalausweises/
https://janschejbal.wordpress.com/2011/08/08/eperso-kann-remote-missbraucht-werden/

Der Beitrag von 2011 spricht sogar explizit davon, dass eine Software die "AusweisApp" vortäuscht.

 

[DickerPirat]

@Termy
Wie soll dieser DAU wissen, dass er eine Fake-App hat?
Und wie soll er wissen, dass jede andere App auf seinem Smartphone keine Malware ist?

Google und Apple versprechen, dass Datenschutz wichtig ist und ihr System sicher ist.
Beide versprechen, dass die Apps in ihren Stores ständig geprüft werden.
Hohe Downloadzahlen und viele Bewertungen in den Store erwecken den Eindruck, dass es sicher ist.
Pseudo-Sicherheitsmaßnahmen wie Face-ID oder Fingerabdruck erwecken den Eindruck, dass niemand außer man selbst Zugriff hat.

Sicherheit auf einem Smartphone ist ein pures Glücksspiel, bei dem man auch als erfahrener Nutzer fast nichts tun kann. Die regelmäßigen News zu gehackten Datenbanken, Apps, Sicherheitslücken, usw. beweisen es.

Der typische Nutzer kauft sich ein teures iPhone oder Samsung Gerät, weil er glaubt, es wäre sicher, weil teuer = gut = sicher. Und darauf sind alle möglichen Apps installiert. Tiktok, WhatsApp, KI-Filter, lustige Apps mit Gesichtsscannern, KI-Tools, Rabatt-Code-Apps (McDonalds, Aldi, etc.), alle möglichen Minispiele, usw.

 

[n8mahr]

Hier wird (leider) ein wenig viel Wirbel gemacht ..
die Voraussetzung ist, dass sich der Nutzer eine falsche / kompromittierte "Ausweis"App herunterlädt...
damit könnte man ja so ziemlich jedes digitale Verfahren angreifen, wenn man vorher erst eine Software installieren muss..

 

[ReactivateMe347]

sein, aber wenn Oma Krawuttke bei der Suche diese tolle bessere Ausweis-App angepriesen bekommt und ohne blassen Schimmer dem ganzen Glauben schenkt… Oder aus einer sonstigen Drittquelle eine modifizierte App gezogen wird…

Wenn die technikferne Frau Krawuttke die dicke Warnmeldung von Android oder iOS vor den Risiken des Sideloading ignoriert, dann ist sie auch nicht unschuldig daran.

 

[murdock_cc]

eID mag vielleicht nicht zu 100% sein, aber wenn ich an unzählige Behördengänge rund um mein Auto denke, mache ich das dann doch lieber vom Rechner aus als in diesen lausigen Ämtern meine Zeit zu verschwenden, von den Fahrten ganz zu schweigen.

Das würde auch mit einem sicheren System funktionieren.

 

[DickerPirat]

@n8mahr
Aber genau das passiert doch millionenfach und jedes Jahr! Es muss keine kompromittierte Ausweis-App sein, es kann jede andere App sein, die auf diese Ausweis-App zugreift.
Und hier wird nicht von allen Möglichkeiten berichtet, sondern einer der allerersten überhaupt. Über die Zeit werden noch viele neue Sicherheitslücken entdeckt werden.

Die Kernaussage ist, dass Smartphones unsicher sind und es auch immer bleiben werden.
Vor allem vergehen oft Monate oder Jahre, bis eine Lücke überhaupt entdeckt wird. Bis dahin ist der Schaden bereits angerichtet. Und wie wir alle wissen, verheimlichen sogar staatliche Behörden Sicherheitslücken, damit sie sie selbst ausnutzen können. Die Meldung liegt ja nicht in deren Verantwortung.

 

[coxon]

Das würde auch mit einem sicheren System funktionieren.

Magst du mir so ein sicheres System programmieren? Ich nehme es mit Handkuss.

 

[ReactivateMe347]

@Termy
Und wie soll er wissen, dass jede andere App auf seinem Smartphone keine Malware ist?

Apps auf Smartphones sind voneinander isoliert. Solange die andere App kein Root-Exploit mitbringt dürfte das kein Problem sein.

 

[Dalek]

Aber genau das passiert doch millionenfach und jedes Jahr! Es muss keine kompromittierte Ausweis-App sein, es kann jede andere App sein, die auf diese Ausweis-App zugreift.

Man muss die falsche App schon für die Ausweisapp halten, den Personalausweis ans Handy halten und die PIN eingeben. Das kann nicht einfach eine andere App von der Seite aus auslesen außer dein Handy ist komplett kompromittiert.

Okay, die tatsächliche Schwachstelle scheint etwas cleverer zu sein als ich aus den Artikeln drüber sehen konnte. Ich muss mir das noch im Detail durchlesen, aber evtl. geht es wirklich mit einer App die man nicht bewusst aufruft wenn man die eID Funktion benutzt.

Das Kernproblem hier scheinen die Links zu sein über denen man die App auf dem Smartphone triggert. Kein Wunder das ich das falsch verstanden habe, ich benutze eigentlich nur die Desktop Variante in der das Handy nur ein Kartenleser ist, da funktioniert dieser spezifische Exploit nicht soweit ich es verstehe.

Was mir nicht klar ist, wie können mehrere Anwendungen diese eid:// Links registrieren und wie stellt die falsche App sicher das sie geöffnet wird und nicht die echte Ausweisapp?