Weitere Sicherheitslücke beim elektronischen Personalausweis

Jan Schejbal, Mitglied der Piratenpartei Deutschland, hat eine Sicherheitslücke entdeckt, über die der neue Personalausweis (nPA oder ePerso) eines Opfers missbräuchlich genutzt werden kann. Voraussetzung dafür ist, dass das Opfer einen Basisleser nutzt und das Browser-Plug-in "OWOK" der Firma Reiner SCT installiert hat. Es dient zur Nutzung der loginCard, die zusammen mit dem ePerso-Basisleser der Firma verbreitet wurde.

Der mehrstufige Angriff beginnt mit dem Exploit, den Schejbal bereits im Januar beschrieben hatte: Das Opfer wird auf eine Phishing-Seite gelockt, die ihm einen Dienst mit eID-Funktion vorgaukelt und dazu eine Kopie der AusweisApp in JavaScript präsentiert. Gibt er dort seine PIN ein, landet diese beim Angreifer.

In der nächsten Stufe nutzt der Angreifer die Möglichkeit des OWOK-Plug-ins, per JavaScript einen Kanal zur Chipkarte zu öffnen. Darüber kann er beliebige APDUs (Application Protocol Data Units) an die Karte schicken und die Antworten lesen. Schejbal hat dazu einen Proof of Concept entwickelt, den wir in der c't-Redaktion nachvollziehen konnten. Über das Netzwerk war es möglich, über eine modifizierte Cyberflex-Shell Kommandos an den ePerso an einem anderen PC zu senden. Einen einfachen Exploit, der eine Kennung der eingelegten Karte liest, findet man auf den Webseiten der Piratenpartei.

Schejbal baut darauf folgendes Szenario für den Missbrauch des ePerso auf: Der Angreifer beschäftigt das Opfer mit Inhalten seiner Seite, sodass das Opfer den Ausweis auf dem Lesegerät belässt. Dann öffnet der Angreifer an seinem PC einen eID-Dienst und leitet die Daten von der AusweisApp auf den Kartenleser am PC des Opfers um und nimmt von dort die Antwort entgegen. Wie die Daten verschlüsselt sind, ist bei dieser Umleitung unwichtig. Die PIN hat der Angreifer über die Phishing-Seite ausgespäht und kann sie an seiner AusweisApp eingeben.

Der einzige Schönheitsfehler: Beim Opfer erscheint dabei beim ersten Zugriff auf den ePerso eine Sicherheitsabfrage: "Darf von (Seitenname) auf Chipkartenleser zugegriffen werden?" Bei aufmerksamen Nutzern dürfte dies Verdacht erwecken. Doch Schejbal hat herausgefunden, dass keine Sicherheitsabfrage erscheint, wenn bestimmte Seiten auf das Plug-in zugreifen. Außerdem entdeckte er auf einer dieser Seiten eine XSS-Lücke, durch die man den Angriff in deren Kontext ausführen kann, sodass die Sicherheitsabfrage unterbleibt.

Schejbal vermutet, dass das OWOK-Plug-in Teile des SIZCHIP-Plug-ins der Sparkassen enthält. Die Sicherheitslücke könnte dann mit weiteren Plug-ins bestehen, etwa dem für die GeldKarte.

[Update]:
Die Piratenpartei sieht auch einen Zusammenhang zwischen den Sicherheitslücken im ePerso und den in letzter Zeit aufgetauchten Forderungen, die Möglichkeiten zur Anonymität im Internet einzuschränken: "Wir halten die Möglichkeit, sich anonym oder pseudonym zu äußern, für einen wichtigen Pfeiler der Meinungsfreiheit. Wie die neue Sicherheitslücke des ePersos erneut beweist, wäre ein Klarnamengebot aber nicht nur politisch gefährlich, sondern auch unsinnig", betonte der Vorsitzende Partei, Sebastian Nerz. Technisch versierte Nutzer werden immer Möglichkeiten finden, den Behörden einen Schritt voraus zu sein. Statt Meinungsfreiheit für alle hätten wir dann eine Klassengesellschaft: Wer die Lücken findet, benutzt die Identität anderer, wer sich nicht gut genug auskennt, ist der Dumme. Oder man veröffentlicht einfach im Ausland: Das Internet kennt keine klassischen Landesgrenzen." (ad)