745757

Sicherheitsmängel in der AusweisApp aufgedeckt

10.11.2010 | 15:11 Uhr |

In der vom BSI zertifizierten AusweisApp für den neuen Personalausweis sind erste Schwachstellen entdeckt worden. Fehler in der Update-Funktion können das Einschleusen von Malware oder beliebigem Code ermöglichen.

Seit Montag, 8. November, ist die für die Nutzung der eID des neuen Personalausweises (nPA) benötigte Software, die so genannte AusweisApp , erhältlich. Sicherheitsforscher haben sich sogleich darauf gestürzt, um Fehler darin zu entdecken. Die ersten Erfolgserlebnisse ließen nicht lange auf sich warten.

Die Piratenpartei hat in einer Pressemitteilung verkündet, ihr Mitglied Jan Schejbal eine Sicherheitslücke in der AusweisApp aufgedeckt. Jan Schejbal beschreibt seine nächtlichen Untersuchungsergebnisse in seinem Blog publiziert  – nebst Beispiel-Code, mit dem die gefundenen Fehler nachvollzogen werden können.

Schejbal hat zwei Fehler in der automatischen Update-Funktion der AusweisApp 1.0.1 gefunden. Der erste Fehler ist eine unzureichende Prüfung des verwendeten SSL-Zertifikats. Die Update-Funktion nimmt per HTTPS eine verschlüsselte und als recht sicher geltende Verbindung zum Update-Server auf. Sie prüft das SSL-Zertifikat, mit dem sich der Server ausweist, jedoch nur auf Gültigkeit. Sie prüft nicht, ob das Zertifikat auch zu diesem Server gehört.

Ein Angreifer könnte auf verschiedenen Wegen die DNS-Abfragen eines Rechners, auf dem die AusweisApp ausgeführt wird, manipulieren und die Update-Anfragen auf einen eigenen Server umlenken. Nun benötigt er noch ein beliebiges, gültiges SSL-Zertifikat, das es für kleines Geld (zur Verwendung mit dem eigenen Server) zu kaufen gibt. Er kann dann der Update-Routine ein manipuliertes ZIP-Archiv unterschieben.

Dann kommt der zweite Fehler ins Spiel. Die Update-Funktion der AusweisApp prüft zwar die in der ZIP-Datei enthaltene MSI-Datei (Microsoft Installer) mittels einer Signatur, entpackt jedoch zuvor die ganze ZIP-Datei. Diese ZIP-Datei kann so manipuliert werden, dass beim Entpacken beliebige Dateien in nahezu beliebigen Unterverzeichnissen auf dem PC landen können. Dabei können vorhandene Dateien überschrieben werden. Somit ist unter Umständen das Einschleusen von Malware in den Rechner möglich.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik), das die AusweisApp zertifiziert hat, prüft derzeit die Meldungen über gefundene Fehler auf ihre Stichhaltigkeit. Da die beiden genannten Fehler relativ einfach zu korrigieren sind, wird es wohl bald eine neue Version der AusweisApp geben. Der Download der fehlerhaften Version ist zurzeit nicht möglich.

0 Kommentare zu diesem Artikel
745757