Online-Ausweisfunktion: Kritische Schwachstelle erlaubt Übernahme der Identität
Die Umsetzung der Online-Ausweisfunktion auf Smartphones reißt eine immense Lücke in das Identifizierungsverfahren. Wirklich schließen lässt sich die nicht.
(Bild: Governikus GmbH & Co. KG)
Ein anonymer Hacker hat eine Schwachstelle in der Online-Ausweis-Funktion des Personalausweises gefunden, die es Unbefugten ermöglicht, fremde Identitäten vollständig zu übernehmen. Damit könnten beispielsweise in fremdem Namen Konten eröffnet oder Behördengänge erledigt werden. Benötigt wird dafür zwar ein Zugriff auf das Smartphone der angegriffenen Person, der ließe sich aber bereits über eine manipulierte App erlangen. Damit ließe sich demnach der eigentlich für Identifizierung über die offizielle AusweisApp übertragene PIN abfangen und an den Angreifer weiterleiten. Der kann sich damit und mit weiteren einsehbaren Informationen als die angegriffene Person ausgeben und in derem Namen aktiv werden.
Sicherheitslücke nur schwer zu schließen
Mit der Methode lasse sich das schwächste Glied in der Sicherheitskette der Online-Ausweis-Funktion ausnutzen, erklärt der nur unter dem Pseudonym "CtrlAlt" auftretende Entdecker der Schwachstelle in einem ausführlichen Blogeintrag. Dort erklärt er, wie beispielsweise beim Besuch der Seite der Arbeitsagentur mit dem Smartphone eine Weiterleitung zur AusweisApp erfolgt. Genau dieser Deeplink kann demnach mit einer bösartigen App gekapert werden, ohne dass das auf dem Gerät ersichtlich ist. Wie leicht Nutzern und Nutzerinnen solch eine App untergejubelt werden kann, hat erst vor wenigen Tagen die Verfügbarkeit einer irreführenden Kopie des Passwort-Generators LastPass gezeigt. Der Angriff über solch eine App wäre auch auf einem Smartphone möglich, das alle Updates installiert hat.
"CtrlAlt" hat dem Bundesamt für Sicherheit in der Informationstechnik nach eigenen Angaben eine umfangreiche Dokumentation zukommen lassen und anderthalb Monate Zeit eingeräumt. Das BSI habe der Beschreibung auch zugestimmt, die sei "technisch in nahezu jedem Aspekt korrekt". Trotzdem hält man es dort nicht für notwendig, in irgendeiner Weise zu reagieren, weil die kritische Schwachstelle mit der CVE-ID CVE-2024–23674 nicht direkt in der Software oder Hardware zu finden ist. Stattdessen werde darauf verwiesen, dass es an den Nutzern und Nutzerinnen liege, für die Sicherheit auf ihren Geräten zu sorgen. Das sei unverantwortlich, kritisiert "CtrlAlt", auch weil die dafür gemachten Vorschläge im konkreten Fall überhaupt nichts helfen würden.
"Die Behauptung, dass User solch einen Angriff verhindern können, indem sie Sicherheitsratschlägen folgen, ist nicht korrekt", meint "CtrlAlt". Er habe mehrere mögliche Angriffswege dokumentiert, nur gegen einen würden die BSI-Vorschläge überhaupt helfen. Er schlägt stattdessen vor, als erste Gegenmaßnahme eine offizielle Liste aller sicheren Apps mit eID-Funktion öffentlich zu machen. Das würde es zumindest leichter machen, potenziell betrügerische Software zu erkennen. Das BSI hat laut dem Spiegel angekündigt, das zumindest zu prüfen. Potentiell verschärft wird das Problem durch die erzwungene Öffnung der App-Stores für Android und iOS, was die Einschleusung gefährlicher Apps erleichtern könnte. Empfehlungen für eine wirkliche Entschärfung hat "CtrlAlt" nicht.
Lesen Sie auch
FAQ: Wir beantworten die häufigsten Fragen zum E-Perso
Das BSI hat seine Reaktion nun ebenfalls veröffentlicht und wiederholt die Aussagen, die gegenüber dem Hacker gemacht wurden. Auch gegenüber heise online hat das Bundesamt inzwischen noch einmal beteuert: "Aus Sicht des BSI besteht keine Schwachstelle in der AusweisApp."
(mho)