Phishing-Demo zum ePerso [Update]

In Verbindung mit Basislesern sind Phishing-Attacken möglich, bei denen die Ausweis-PIN ausgespäht wird. Aufmerksame Nutzer können sich jedoch schützen.

In Pocket speichern vorlesen Druckansicht 143 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Axel Kossel

Unter dem doch etwas irreführenden Titel "Neue Schwachstelle beim ePerso aufgedeckt" berichtet die Piratenpartei über die Möglichkeit, die PIN des neuen Personalausweises auszuspähen, ohne Schadsoftware auf dem Computer des Opfers zu installieren. Demonstriert hat diese Möglichkeit Jan Schejbal, der bereits im November eine Sicherheitslücke in der Update-Funktion der AusweisApp offenlegte, woraufhin das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Version zurückzog.

Auch die aktuelle Schwachstelle betrifft nicht den ePerso selbst, sondern das Zusammenspiel der AusweisApp mit den Basislesern, die in großer Stückzahl mit Fördermitteln der Bundesregierung in den Markt gedrückt wurden. Die Basisleser besitzen keine eigene Tastatur, sodass man die PIN am PC eingeben muss. Dabei ist nur schwer erkennbar, ob die AusweisApp tatsächlich aktiv wird; dies zeigt lediglich ein kleines Symbol in der Taskleiste an, indem es die Farbe von Grün auf Blau ändert. Schejbal kritisiert, dass dies nicht ausreichend dokumentiert sei.

Die AusweisApp greift auf den ePerso zu: Das Chipkartensymbol in der Taskleiste wird blau.

Schejbal nutzt diese Schwäche in einer Demo aus: Er hat dazu einfach die Dialoge der AusweisApp in JavaScript nachgebaut und dabei lediglich die Bildschirmtastatur (aber nur wegen des hohen Programmieraufwands) weggelassen. Wenn der Nutzer den Unterschied nicht erkennt und seine PIN eingibt, kann diese an den Server übertragen werden. Ein Zugriff auf die Ausweisdaten ist dabei aber nicht möglich.

Der nachgebaute Diaolg: Das grĂĽne Chipkartensymbol zeigt, dass die AusweisApp nicht aktiv ist. Hier soll die PIN abgephisht werden.

Der Angreifer kann daher auch kein ausgefülltes Registrierungsformular anzeigen. Er kann aber eine Fehlermeldung zurückgeben, was zumindest derzeit nicht weiter auffällt, da dies bei fast allen ePerso-Anmeldungen noch regelmäßig passiert. Lässt sich der Nutzer nach der Fehlermeldung zur Anmeldung über ein Webformular bewegen, erhält der Angreifer einen kompletten Satz aus Personendaten und Ausweis-PIN.

Damit demonstrierte Schejbal eine gewöhnliche Phishing-Attacke, gegen die bekanntlich gesunder Menschenverstand am besten schützt. Dennoch wäre es besser, wenn Zugriffe der AusweisApp auf den Basisleser deutlicher signalisiert würden. Schejbal sagt dazu: "Dieser Angriff nutzt keine Sicherheitslücke im Ausweis oder der AusweisApp aus, sondern die Tatsache, dass Nutzer nicht in der Lage sind, echt aussehende von echten Fenstern zu unterscheiden. Das Ergebnis ändert das aber nicht: Der Angreifer hat am Ende die PIN des Nutzers." Um diese missbrauchen zu können, muss der Angreifer zusätzlich entweder in Besitz des Ausweises gelangen oder eine Schadsoftware auf dem Computer des Opfers platzieren.

[Update]:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das an der Entwicklung der Infrastruktur für den Personalausweis beteiligt und für die Zertifizierung von Chips und Lesegeräten zuständig ist, erklärte in einer Stellungnahme, bei dem von Schejbal dargestellten Sachverhalt handele es sich weder um eine Schwachstelle des neuen Personalausweises noch der Software AusweisApp. Vielmehr handele es sich um einen klassischen Phishing-Trick.

Zudem betonte das BSI: "Allein dadurch, dass einem Angreifer die PIN bekannt ist, entsteht dem Ausweisinhaber keinerlei Schaden. Nur durch Kenntnis der PIN ist beispielsweise ein Missbrauch des Ausweises oder der persönlichen Daten des Inhabers nicht möglich, denn zur Nutzung der elektronischen Ausweisfunktion ist neben der Kenntnis der PIN auch der Zugriff auf den Ausweis selbst erforderlich ('Wissen und Besitz')."

Der neue Personalausweis sei ein erheblicher Sicherheitsgewinn gegenüber den derzeit gängigen Authentisierungsverfahren auf Basis von Benutzername und Kennwort; so sei beispielsweise auch bei den bislang gängigen Verfahren der gleiche Angriff mit wesentlich weniger Aufwand möglich. In diesem Zusammenhang betont das BSI, dass man seit langem auf die Gefahren des Phishing hinweise und Hilfestellungen auf einer eigenen Webseite gebe. (ad)