Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsOnline-Personalausweis: Identitätsdiebstahl durch Schwachstelle im eID-Verfahren möglich
Der typische Nutzer kauft sich ein teures iPhone oder Samsung Gerät, weil er glaubt, es wäre sicher, weil teuer = gut = sicher. Und darauf sind alle möglichen Apps installiert. Tiktok, WhatsApp, KI-Filter, lustige Apps mit Gesichtsscannern, KI-Tools, Rabatt-Code-Apps (McDonalds, Aldi, etc.), alle möglichen Minispiele, usw.
ich bin da andere Meinung man kauft sich ein neues Handy weil es "neu" ist. (Schneller, weiter, höher).
Glaub auf Sicherheit achten die wenigsten bzw. steht überhaupt nicht im Fokus. Hier sollte man die User mehr sensibilisieren.
War auch sehr lange gegen die Apps Flut aber man hat sich etwas dran gewöhnt z.B. die Rewe App (Angebote) oder McDonalds zum bestellen. Dafür sind die ja da.
War auch lange gegen den "Digitalen" Perso aber der hat mir tatsächlich sehr viel Zeit erspart bei Behördengänge die über unser Dorf hinausgehen.
Und darauf sind alle möglichen Apps installiert. Tiktok, WhatsApp, KI-Filter, lustige Apps mit Gesichtsscannern, KI-Tools, Rabatt-Code-Apps (McDonalds, Aldi, etc.), alle möglichen Minispiele, usw.
Und wenn man dieser unsäglichen Praxis anhängt, dann muss man sich eben bewusst sein, dass man die Integrität seines Smartphones damit potentiell kompromittiert.
n8mahr schrieb:
Hier wird (leider) ein wenig viel Wirbel gemacht ..
@ReactivateMe347
Wie können die isoliert sein, wenn der typische Nutzer jeder App jede einzelne Berechtigung gibt, die aufploppt?
Es gab bereits News, die zeigten, dass Spiele auf die Fotodateien zugegriffen haben. Oder Apps, die einen Screenreader integriert hatten oder die auf das unverschlüsselte Clipboard zugriffen, usw.
Bei GrapheneOS kann ich es mir vorstellen, da dort jede einzelne App in einer Sandbox läuft und der Zugriff auf Dateien über Scopes erfolgen kann, nicht wie bei Android auf ganze Pfade.
Das funktioniert leider so gut wie nie... User lassen sich nicht sensibilisieren. User müssen an die Hand genommen werden. Dazu gehören sogar simple Dinge wie Zwangsupdates, verpflichtende "sicherere" Passwörter, usw.
Oh doch... du überschätzt den typischen Nutzer.
Dieser hat mal gehört, dass man seinen Ausweis auf das Handy machen kann, sucht im Store nach "Ausweis App", "eAusweis" oder was auch immer ihm einfällt und lädt das herunter, was viele Downloads oder die besseren Bewertungen hat.
Die aktuellen 3,7 Sterne scheinen nicht gut zu sein. Eine App mit 4,5 Bewertungen wird da eher installiert. Diese könnte durch Bots erstellt worden sein.
Die Überschrift passt aber nicht wirklich zum Text?
Oder erkennt man die BSI Beurteilung nicht an und hält die für Quatsch?
Selbst wenn man das wie der CCC sieht geht es ja eher um eine "Schwachstelle" in der APP und nicht im Verfahren selbst?
Mit System ist nicht alleine die Software gemeint.
Und die Firmen und Behörden, die für die Konzeption verantwortlich sind dürfen gerne noch einmal nachbessern.
Boing würde nach BSI Art jetzt vermelden, das ihre Flugzeuge doch absolut in Ordnung seien und wenn man sich seinen Sitzplatz mindestens 3 Reihen vor und 3 Reihen hinter den Türen reserviert kann da auch nichts passieren.
Das ist richtig - und wenn du mir deine Bankkarte und PIN gibst, dann kann ich Geld von deinem Konto abheben.
DickerPirat schrieb:
Bei GrapheneOS kann ich es mir vorstellen, da dort jede einzelne App in einer Sandbox läuft und der Zugriff auf Dateien über Scopes erfolgen kann, nicht wie bei Android auf ganze Pfade.
Android isoliert Apps, so wird z.B. jede App mit einem separaten Linux-Nutzer betrieben. Es gibt definierte Schnittstellen zwischen OS und Apps und zwischen Apps untereinander, das ist für legitime Funktionalität unumgänglich. Graphene OS ist auch "nur" ein Android. Ein wesentlicher Unterschied ist, dass die Google-Dienste keine Sonderrechte haben (=System/root) sondern auch in eine Sandbox gepackt werden.
Die wirklich relevante Information, die man als Leser verarbeiten kann, ist bei der News das Verhalten und die Aussagen des BSI. Meine Güte Bundesamt für Sicherheit in der Informationstechnik schimpft es sich und tut was?! Genau facepalm
Ansonsten war doch klar was in der Zukunft mit dem eID-Verfahren für Schindluder getrieben wird.
Wir haben in Europa soviel Nachbarn, welche die Digitalisierung und deren Sicherheitsmechanismus weit entwickelt haben. Aber hey, Deutschland nimmt sich kein Beispiel daran. Selbst dazu ist es zu blöd.
Ich befürchte die meisten hier haben nicht mal den Artikel gelesen.
Ich teile die Meinung des BSI. Es ist ein lokaler Angriff auf das Smartphone notwendig und man muss sich erst mal eine manipulierte App installieren.
Ja, es ist nicht unmöglich...aber damit dieser Angriff stattfinden kann müssen schon viele Dinge zusammenkommen die so einfach nicht zu erreichen sind.
Das Verfahren an sich ist nicht betroffen.
Für die App kommt vielleicht ein Fix der das ganze dann behebt. Aber die Releasezyklen in der öffentlichen Verwaltung sind nicht die schnellsten und es muss auch erst mal das Budget dafür bereitstehen, wie wir alle wissen ist der Haushalt 2024 ein schwierigeres Thema.
Ich weiß ja nicht so schlimm finde ich das jetzt nicht, klar man kann das nachbessern aber ob das jetzt für mich selbst Prio 1 hätte?
Der Angreifer muss also mein Handy besitzen, muss Pin / Fingerabdruck / FaceID haben um die manipulierte App zu installieren, muss mir mein Handy zurückgeben, warten bis ich mich mit meinen Ausweis identifiziere und kann dann erst meinen Ausweis missbrauchen?
Habe ich das richtig verstanden? Falls ja scheinen mir das schon sehr große Hürden zu sein.
Edit: hätte bis zum DMA ja sowieso nur Android betroffen, die modifizierte App wäre bis dahin ja gar nicht auf ios installierbar gewesen.
Über diese "Schwachstelle" (was ja so bei diesem Fall gar nicht stimmt, da es einen Zugriff aufs Mobile braucht) kann man sich nun natürlich ärgern, freuen oder was auch immer.
Doch alles was übers Internet läuft, ist nunmal nicht 100%ig sicher, genau wie das Leben an sich ebenfalls nicht. Sicher ist nur, dass wir alle irgendwann den Löffel abgeben müssen.
Und so bin ich der Meinung, dass auch digitale Behördengänge aller Art für die Zukunft ein Muss sind. Restrisiko hin oder her.
Oh doch... du überschätzt den typischen Nutzer.
Dieser hat mal gehört, dass man seinen Ausweis auf das Handy machen kann, sucht im Store nach "Ausweis App", "eAusweis" oder was auch immer ihm einfällt und lädt das herunter, was viele Downloads oder die besseren Bewertungen hat.
Ja - und GENAU das ist es, was ich eben mit Sorgfaltspflicht meine. Jemand der so vorgeht hat in meinen Augen nichts an technischen Geräten zu tun, schon gar nicht an sicherheitsrelevanten.
Marcel55 schrieb:
Ich befürchte die meisten hier haben nicht mal den Artikel gelesen.
Mittlerweile wird man ja auch gezwungen als nicht krimineller Staatsbürger seine Fingerabdrücke preiszugeben für den Perso. Kurz vor Gesetzesänderung noch einen Neuen geholt.
Erforderlich sei ein mehrstufiger Angriff, bei dem das Gerät entweder vollständig kompromittiert werde oder die Anwender eine manipulierte App installieren müssen.
Und wo ist da die Sicherheitslücke?
Richtig, beim Anwender.
Da könnte ich auch behaupten das physische Schlüssel eine Sicherheitslücke haben.
Denn die könnte ein Angreifer ja klauen, kopieren und sich so Zugang zu meiner Wohnung/Haus verschaffen.
Schon absurd was mittlerweile heutzutage als "Sicherheitslücke" verkauft wird nur um ein paar Schlagzeilen zu produzieren!
[Smartphone] Mit den neuen Behördenkennzeichen kannst du Apps von Behörden leichter erkennen. Diese Funktion ist momentan in 12 Ländern verfügbar, weitere Länder werden folgen.
So, wer hätte es gewußt oder noch besser, wer kann all den Unwissenden erklären wie dieses ominöse Behördenkennzeichen aussieht, an dem man die 'echen' Apps erkennt?
Tausendmal Danke an das allmächtige Google in seiner Weisheit so tolle Features heimlich zu erschaffen.
Wusstest du das man die eID nicht nur über die 'offizielle' BUND App nutzen kann, sondern das es auch sehr teure Lizenzen vom BUND gibt, um diese in eigenen Apps zu nutzen? Die stellen da ne API für, wird zB fürs Ident von Banken genutzt. Und nu ...?
Die Frage, die ich mir stelle ist, ob wir eine staatliche Instution haben, die sich mit Sicherheit in der Informationstechnik auskennt und das dem BSI mal erklärt.
Anscheinend haben die da noch nicht wirklich verstanden, a) was Sicherheit genau bedeutet und b) warum es anzustreben ist, möglichst sichere Anwendungen und Protokolle zu entwerfen.
Insbesondere da Internet noch immer Neuland ist, sollte hier nicht der Nutzer (liebevoll Client genannt) für die Sicherheit alleine verantwortlich sein - das aber sieht das BSI anscheinend anders.
Ergänzung ()
leipziger1979 schrieb:
Und wo ist da die Sicherheitslücke?
Richtig, beim Anwender.
Da könnte ich auch behaupten das physische Schlüssel eine Sicherheitslücke haben.
Denn die könnte ein Angreifer ja klauen, kopieren und sich so Zugang zu meiner Wohnung/Haus verschaffen.
Schon absurd was mittlerweile heutzutage als "Sicherheitslücke" verkauft wird nur um ein paar Schlagzeilen zu produzieren!
Also auch mal dazu... so ist das ja nicht.
Du musst hier eine App installieren. Wie viele Apps hast Du aktuell installiert?
Davon kann bereits eine kompromittierende dabei sein, von der Du gar ncihts weißt.
Also ich habe zig apps installiert und vertraue auch ein bisschen darauf, dass zumindest ein grundlegender Check durch den Store erfolgt - was soll ich auhc sonst machen? Ich kann in die App nicht reingucken. Bewertungen lesen, okay.
Aber heutzutage installiert man alle paar Monate alleine eine neue Banking App einer neuen Neobank um weiterhin sein Geld zu behalten (Tagesgeldkonten). Da dann mal eine schlechte zu erwischen ist gar nicht so unwahrscheinlich.
Dass Du jedoch Deinen Schlüssel jeden Tag jemandem abgibst, der eine Kopie davon machen könnte, ist eher unrealistisch. Da weißt Du als Anwender schon ein bisschen genauer Bescheid, dass Du diesen Schlüssel nicht aus der Hand geben solltest.
Auf Deinem Smartphone machst Du das aber nciht - und vielleicht machst Du das, gehlörst dann aber zu den 0,1% der Nutzer, die das tun. Gratulation.
Deswegen öffentlich anzusagen, dass das ja gar keine Sicherheitslücke sei, weil 0,1% der Nutzer wüssten, wie man sein Smartphone sicher nutzt und nur für die eID gedacht sei - halte ich für schwierig.
Ich bin studierter Informatiker mit jahrelangem IT-Security-Hintergrund und meine auch, dass ich meine Sicherheit so einigermaßen im Griff habe. Aber sowas könnte ggf. sogar mir passieren, wenn ich nichts von der staatlichen AusweisApp2 (vertrauenswürdiger Name übrigens) wüsste und ausschließlich diese bereits seit Jahren nutze.
Aber auch von der Post habe ich eID bereits genutzt, ohne mir darüber Gedanken zu machen, dass die App komrpommittiert sein könnte. Weil ich einfach Vertrauen in diesen eID Sicherheitsstandard hatte - bis heute.
Meinen Eltern habe ich lange davon abgeraten, eID zu nutzen. Nun wollte ich meine Meinung ändern und dann kam heute das.
Mein Ausweis war nach erhalt erstmal 5 Sekunden lang in der Mikrowelle. Seitdem ist er total unsmart und unelektronisch. Das einzige für das ich den benutze ist aber auch um mich auszuweisen falls im echten Leben mal wer danach fragt und für sonst gar nichts. Und ich befürchte der nächste Ausweis wird wieder das selbe Schicksal erleiden.
alles, wo meschen dran rum fummeln, ist unsicher.
generell ist aber ein smartphone, vor allem die neueren, aber schon deutlich sicherer als ein windows-pc!
am smartphone ist man nämlich nicht dauerhaft und standardmäßig als admin angemeldet, man hat einen fingerabdruck-scanner als passwort-ersatz, und einige einstellungen lassen sich erst gar nicht verändern, ohne "root" zu sein, und das schafft der unbedarfte nutzer nicht.. ganz im gegensatz zum windows-pc.. von daher, aus MEINER sicht alles halb so wild.
es reicht, sich zu merken, dass nichts 100% sicher ist (außer der tod, und steuern)..
