Kein Nachbesserungsbedarf
AusweisApp des Bundes: Die „echte App“ mit großem Update
Drei Monate nach ihrer überfälligen Umbenennung von AusweisApp2 hin zur schlichten AusweisApp, steht die offizielle iPhone-Anwendung des Bundes jetzt in Ausgabe 2.1 im App Store bereit und bringt mehrere funktionale Verbesserungen mit, die den Einsatz des elektronischen Personalausweises komfortabler machen sollen.
Version 2.1 ab sofort verfügbar
Neben einer Überarbeitung der grafischen Benutzeroberfläche besteht nun die Möglichkeit, Animationen innerhalb der App zu deaktivieren.
Eine wesentliche Änderung ist die Aufhebung des bisherigen Zeitlimits von fünf Minuten für die Eingabe des Passworts bei Nutzung der App in Verbindung mit dem elektronischen Personalausweis. Zudem wurde die Anzeige von Gerätenamen korrigiert, wenn die Funktion „Smartphone als Kartenleser“ verwendet wird, um sicherzustellen, dass geänderte Gerätenamen korrekt wiedergegeben werden.
Auch Fehler beim Einsatz des „Smartphone als Kartenleser“ sowie beim Verbindungsaufbau mit passwortgeschützten Proxys wurden korrigiert.
Kein Nachbesserungsbedarf
In Sachen Sicherheit wurden allerdings keine Änderungen an der Anwendung vorgenommen, die Mitte letzten Monats wegen des Einsatzes sogenannter Deeplinks in der Kritik stand.
- Online-Ausweis kompromittiert: Hacker umgehen eID-Schutz
Der damalige Vorwurf an die Entwickler: Wer nicht die echte AusweisApp des Bundes sondern eine Anwendung installieren würde, die sich als diese ausgibt, würde Gefahr laufen, dass Dritte Zugriff auf die eigentlich geschützten Ausweisdaten erhalten.
Dem hat die Governikus GmbH, die die AusweisApp im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entwickelt, inzwischen widersprochen.
Die offizielle AusweisApp des Bundes selbst weist keine Schwachstellen auf und sei als Client nicht von dem Angriff betroffen gewesen. Anwendern wird lediglich empfohlen, die Download-Quellen zu überprüfen: „Wenn Sie sich unsicher sind, aus welcher Quelle Sie die AusweisApp bezogen haben, empfiehlt das BSI, die App zu deinstallieren und erneut aus den offiziellen Quellen unter folgendem Link herunterzuladen.“
Ich gebe zu, ich habe es nicht gegoogelt, aber hat die Firma nicht recht? Die deeplinks sind doch schlichte appverlinkungen, wie sollen die das fixen, wenn die „sicherheitslücke“ nur besteht wenn man deren App nicht nutzt?
Richtig. Es wurde auch ziemlich ausführlich in der letzten Folge des Podcasts Logbuch Netzpolitik erklärt. Linus Neumann war auch derjenige, der sich diesen Hack sehr genau angeschaut hat.
Der Schwachpunkt sind die Deeplinks, die Apple zulässt.
Die Verlinkungsmethode ist sehr alt und veraltet.
Auch wenn die App „nicht schuld“ ist, handelt es sich um einen realistischen Angriffsvektor.
Bei einer app, bei der es sich um die eindeutige Identifizierung geht.
Deshalb ist das kritisch.
Darüber nachzudenken, ob man das in 2024 nicht andere/besser lösen kann, halte ich für sinnvoll
Du nutzt zum Verschließen von etwas sehr wichtigem ein anderes Schloß, als empfohlen.
Dieses wird geknackt und du verlangst vom Hersteller des empfohlenen Schlosses, er soll seins nachbessern, damit das nicht mehr passieren kann?
Hmm…
@Heiko: Apple empfiehlt ja gerade, NICHT die Deeplinks zu verwenden.
@Hal9000: + 1 … es gehört zur professionellen Entwicklung dazu, die Dummheit der User mit einzukalkulieren.
Ich denke, wir sind nicht mehr weit davon entfernt, dass AppEntwickler auch ein „blue badge“ erhalten, die Ihre App-Echtheit und die Verbindung zu Entwickler App verifizieren können. Wäre zumindest auch eine neue Einnahmequelle und würde den AppStore NOCH SICHERER machen. ;-)
Gerade wenn es mehrere AppStores gibt, wirst du doch nicht mehr darauf achten, hat die AusweisApp Bund die Governikus GmbH gemacht oder die BundAndLaender Ltd.
Beschreibst du nicht einfach die Zertifizierung die Apple sich jährlich schon mit 100€ bezahlen lässt?
Nein. Wo hast du denn da den Single Source Of Truth in Verbindung zur Echtheit der App zum Echten Entwickler?
Gewisse Sicherheitsmerkmale für gewisse Anwendungen (Ausweisdokumente, Finanzen, etc.). Da lässt sich doch ein Zertifikat oder ein TXT-Eintrag personalisiert auf die Webseite des Anbieters ablegen, der sich dadurch verifiziert: Ja die App gehört zu unserem Haus.
Entweder haben wir gerade herausgefunden, dass Apples sicherheitsversprechen, dass nur eine zertifizierte App von den Entwicklern kommt, nicht stimmt oder wir haben eine unterschiedliche Auffassung darüber wie sicher ein blauer Punkt ist. Die Zertifizierung der App sorgt dafür, dass man erkennen kann von welchem Entwickler die App stammt und dass Apple quasi als Prüfstelle dafür herhält. Das ist ja auch die Begründung warum Apple sideloading nur mit zertifizierten Apps erlauben will.
Wir haben eine unterschiedliche Auffassung. Du befindest dich zu sehr im hier und jetzt und hast eine falsche Wahrnehmung über Apples „Prüfstelle“. Dort prüft kein Entwickler ob die App „Kommerzialbanking“ von der Commerzbank stammt und ob die Abgefragten Informationen (Zugangsdaten) den „richtigen“ Server kontaktieren. Aber darum geht es hier auch nicht.
Ah okay, dann hab ich’s jetzt verstanden. Dir geht’s nicht darum dass man es manuell pro App nachschauen kann wer der Entwickler ist (als Anwender, das geht aktuell schon umständlich) sondern darum, dass die Schnittstelle zwischen den Apps eine automatische Überprüfung durchführt? Dann sorry da hast du recht das sollte noch kommen
Cool – haben wir uns doch mit Händen und Füßen irgendwie verstanden. :-)
Die App sieht aus wie so ziemlich alles it technische made in Germany.
Meine 3 jährige könnte n besseres Design raus rotzen..
Dann lass sie doch mal loslegen und zeig uns Screenshots.
Arbeitet Deine Tochter etwa bei VW? Die können es nämlich auch nicht besser :-)
Die App ist nicht schön, aber einfach gehalten. Dies ist wichtiger, als eine App die den DesignAward gewinnen könnte, aber ein UI der Hölle hat.
und zumal alle Alterklassen mit unterschiedlichen Barrieren erreicht werden müssen – nicht nur 3 jährige mit ausgeprägten Designskills. ;-)
Ich sag nur: Trade Republic (neues UI)
Mir ist nicht klar für was man düse Ausweis App übehaupt nutzen kann – ausser seine Daten einzusehen. Gibt es da irgendwo Hinweise?
Wahrscheinlich für vieles was ich auch noch nicht kenne, aber ich nutze sie um z.B. mich für meine Renteninformationen online einzuloggen, für die Einkommenssteuererklärung über Elster, und für ein paar ID-Geschichten hier und da ohne mich an alles zu erinnern.
Zur online Identifizierung bei z.B. Behörden. Du kannst Dir z.B. online Deinen Punktestand beim KBA in Flensburg abrufen. Später dann, wenn Deutsche Behörden von Fax auf dieses Neuland umgestellt haben, geht noch mehr.
Vielelicht auf der Seite des Bundes? Ist nur so eine gaaaaanz wage Vermutung …
In „düser ;-)“ App wirst Du im Bereich „Hilfe / Anbieterliste“ auf die Website „ausweisapp.bund.de“, wo Du die derzeitigen Einsatzgebiete der Ausweis-App nachlesen kannst.
Ich musste neulich meine Bankverbindung ändern wegen Bankenfusion und konnte das dank Ausweis-App2 online bei Zoll-Portal für die KFZ-Steuer machen. Dabei habe ich gleich den jährlichen Papierbescheid abbestellt, der kommt künftig per E-Mail.
Zum Beispiel bei Elster (Steuer), sehr praktisch.
Die online-basierte Zulassung bzw. Ummeldung von KFZ z.B., die dir den Gang zur Zulassungsstelle erspart. Funktioniert einwandfrei und ist auch ne Stange günstiger
Wann kommt der Perso via App?
Hoffentlich gar nicht. Da es vollständige Sicherheit in der IT nicht gibt, fühle ich mich wohler, wenn das getrennt bleibt
Es zwingt Dich niemand sie zu benutzen
Das wird wohl noch dauern.
Auf Phishing reinzufallen ist immer doof, egal ob Banking oder Ausweis-App…
Anmeldung leider nicht möglich zur bundID. Wobei sich die Frage stellt warum man neben dem Personal noch eine bundID App braucht?
Es war, ist und bleibt einfach nur zum heulen. Peinlich, erbärmlich. Mehr muss man dazu nicht sagen. Schaut euch mal die Bürger-App in Polen an. mObywatel. Von Ausweis über Tickets bis zu den Fahrscheinen, alles erdenkliche in einer App ansprechend untergebracht.