iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Deeplink kann entführt werden

Online-Ausweis kompromittiert: Hacker umgehen eID-Schutz

Artikel auf Mastodon teilen.
65 Kommentare 65

Hacker haben in der eID-Infrastruktur des so genannten Online-Ausweises eine kritische Sicherheitslücke entdeckt, die es Angreifern ermöglicht, sensible Daten zu kompromittieren.

Ausweisapp Screenshots

Dies haben Sicherheitsforscher, die unter dem Pseudonym CtrlAlt agieren, jetzt mit einer Veröffentlichung unter Beweis gestellt, die einen Man-in-the-Middle-Angriff auf die eID-Funktion des deutschen Personalausweises skizziert.

Dabei wird die Kommunikation zwischen dem Endgerät und der eID-Infrastruktur durch eine entsprechend vorbereitete Applikation überwacht, die anschließend über den Zugang zu dem soeben autorisierten Dienst verfügt.

Deeplink kann entführt werden

Der unter Laborbedingungen demonstrierte Angriff ist nur möglich, da sich der Online-Personalausweis beim Starten der AusweisApp auf eine technische Lösung verlässt, von der sowohl Google als auch Apple grundsätzlich abraten. Wird eine persönliche Identifikation über den Online-Ausweis angefordert – etwa beim Abruf des Punktstandes in Flensburg – öffnen entsprechende Dienste-Anbieter die AusweisApp mit einem so genannten Deeplink.

Ausweis App 2

Dieser Deeplink beginnt mit den Zeichen (“eid://”) und öffnet üblicherweise die offizielle AusweisApp von Governikus. Ist diese jedoch nicht installiert, können andere Anwendungen entsprechende Links für sich beanspruchen und ihrerseits starten, wenn Anwender den Querverweisen folgen.

Dies hat im Fall des Online-Ausweises signifikante Folgen: Ist eine Anwendung installiert, die sich als AusweisApp ausgibt, kann diese die Autorisierungssitzung mitlesen und verfügt anschließend über wichtige Teile der eID-Identität des angegriffenen Nutzers.

Ios Ausweis App Oeffnen

BSI reagiert schulterzuckend

Die Hacker haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Lücke informiert, dieses sieht die Verantwortung für die Sicherheit der Endgeräte jedoch primär bei den Nutzern.

In dem Paper (PDF-Download), in dem die Sicherheitsforscher den Angriff detailliert beschreiben, geben diese allerdings an, dass die Schwachstelle selbst dann ausgenutzt werden kann, wenn alle Sicherheitshinweise des BSI befolgt und die jeweils neuen Betriebssysteme auf den Endgeräten ausgeführt werden.

Zum Nachlesen:

16. Feb 2024 um 14:27 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    65 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Und so fängt es an ….

    Antworten moderated
  • „Sicherheit der Endgeräte bei den Nutzern“. Das ist so unfassbar deutsch, dass ich weinen will.

    Antworten moderated
    • Vor allem da die EU ja auch zwingend 3. Anbieter Stores durchsetzten muss. Freue mich darauf wenn da dann zu hauf AusweisApps zur Verfügung stehen.

      • Wieso sind dafür denn jetzt Drittanbieter Stores verantwortlich? Eine so sicherheitskritsche App so zu designen das Application URLs gekapert werden können ist fahrlässig und einzig und allein die Verantwortung des Entwicklers dieser Funktion.

    • Ist mit der „TI – Telematikinfrastruktur“ auch so: Der Arzt ist schuld wenn der Arztausweis missbraucht wird…. und stecken lassen soll ich im Kartenleser aber auch nicht…. Dafür dann lieber 250mal am Tag die Pin eingeben…
      PS: Fax funktioniert wenigstens ;)

    • Da muss mMn das BSI zwar anders reagieren und das entsprechend ernst nehmen.
      ABER:
      Für mich ist eher unfassbar deutsch, dass Anwender allen ernstes meinen, komplexe Systeme, Geräte und Daten lassen sich mit der vergleichsweise einfachen Ausflucht „Ich bin ja nur User“ ohne eigene Awareness und Verantwortung nutzen.

      Da weine ICH dann bittere Tränen und empfehle diesen Menschen dann lieber Papier und Stift :D

  • „BSI reagiert schulterzuckend“…..IT ist halt immer noch Neuland :-)

  • Das sind die Edge Cases mit denen Panik und warum wir bei der Digitalisierung immer weiter zurück fallen.

    • gemacht wird*

      Die deutschen und die 100% Lösung. Die gibt es bei Software einfach nicht.

    • Absolut. Fakt ist doch: wer den pass mit dem Handy nutzt wird auch die App haben und entsprechend kein Problem damit haben. Mehr Wind um nichts…

    • Das sind m.e. keine Edge Cases, wenn es um _die_ Authentifizierung schlechthin geht. Wir reden ja hier nicht von einem Webshop oder Streaming Dienst.
      Es ist richtig, dass es keine 100% Sicherheit gibt, aber deshalb arbeitet man in der Regel entlang einer Risikoanalyse und merzt die Schwachstellen aus. Hier wurde ganz deutlich eine Schwachstelle gezeigt und die ist real, weil der Endnutzer i.d.R. das dümmste / schwächste Glied in der Kette ist.
      Wer sowas auf die Beine Stellt, muss auch Vulnerability Management betreiben. IEC 62443 und NIST SP800-53 sind da ziemlich eindeutig und die Empfehlungen des BSI ja auch. Warum man hier nur mit Schulterzucken reagiert, ist mir unbegreiflich. Vor allem wenn man gleichzeitig Hersteller wie Apple dazu nötigt fremde App Store zuzulassen, passt das nicht zusammen.

      Antworten moderated
  • Wäre eine Push Notification denn so viel schwieriger zu implementieren? Die käme zumindest nie bei einer anderen App an.

  • Aber wer nutzt eine e ID Funktion, wenn er die AusweisApp nicht hat? Warum hätte man den Gedanken dann überhaupt so einen Weg zu nutzen und zieht das dann auch noch durch, und wie kommt die fremde App da drauf?

  • Immer diese Gejammer!
    Wirklich unglaublich!
    Deutschland sollte in Jammerland umbenannt werden.

    JA… natürlich ist es nicht erfreulich, daß die Sicherheit kompromittiert ist. Und es ist gut, daß die Lücke aufgedeckt wurde und es somit möglich ist etwas dagegen zu tun.

    Schlimmer finde ich, daß von den meisten Kommentatoren ausschließlich abwertende Bemerkungen kommen, obschon hier in Deutschland an der Digitalisierung gearbeitet wird. Das scheint in anderen Ländern augenscheinlich besser und schneller zu funktionieren, aber ob dies tatsächlich auch so ist kann ich nicht sagen.
    Mit Sicherheit treten auch dort Probleme auf. Vielleicht hilft auch eine etwas andere Fehlerkultur! Menschen machen Fehler! Und es ist nichts Verwerfliches daran. Im Gegenteil! Ohne Fehler können wir uns nicht weiterentwickeln. Anstelle also den Schuldigen zu suchen und diesen dann mit Vorwürfen zu überschütten, könnte ja auch mal ein konstruktiver Vorschlag kommen.
    Aber offensichtlich ist es dann einfacher eine hämische, abfällige Bemerkung zu machen. Dabei sollte doch allen bewusst sein, daß wir alle diese Regierung, die auch die Entscheidung getroffen hat die eID zu entwickeln, schlußendlich gewählt haben!
    Und Kommentare bezüglich wer Wen oder Wen nicht gewählt hat können wir uns getrost sparen. Als demokratische Gesellschaft tragen wir alle die Verantwortung und müssen zumindest akzeptieren, daß nicht alles so läuft wie wir uns das so gewünscht haben.

    Ich wünsche Euch allen ein schönes Wochenende!

    Antworten moderated
    • Gut gesprochen. Wenn ich das alles richtig interpretiert habe, muss man dazu eine falsche AusweisApp herunterladen. Derzeit zumindest ein sehr theoretisches Szenario.
      Man kann es daher als nützlichen Hinweis nehmen ohne gleich in Weltuntergangsstimmung zu verfallen. Das Verfahren ist immer noch x-mal sicherer als das vielfach praktizierte Videoident.

    • Mit was meinst du „wir haben diese Regierung gewählt“. Es haben nicht alle diese Regierung gewählt.

      Antworten moderated
    • svc, danke für deinen Kommentar. Endlich kommen hier mehr und mehr Leute zusammen, denen dieses Gejammere und „erstmal-doof-finden“auf den Sack gehen. Und dies auch äussern.
      Ich habe dem Eindruck, dass hier viele denken, dass sie alles besser wissen als alle anderen. Weil hier anonym und ohne konsequenzen.

      Antworten moderated
    • Einer der wenigen Kommentare, den ich vorbehaltlos unterschreibe. Unsere Debattenkultur wäre reich, gäbe es mehr davon. Sachlich, Hintergründe mit einbeziehend und ohne Häme

      Antworten moderated
    • Ich glaube, dass viel Kritik sich nicht auf die Tatsache bezieht, dass ein Fehler gemacht wurde, sondern wie damit umgegangen wird. „Für die Sicherheit sind die User verantwortlich“ endet erfahrungsgemäß im Desaster. Siehe Passwörter, Phishing Mails, etc… Sehr viele User haben halt leider wenig IT Kentniss.

      Antworten moderated
  • Der Hack ist sowas von langweilig, kein Wunder dass die ignoriert werden.
    Wie kommen die dann an den dazugehörigen nPA? Ohne den sind die Anwenderdaten nutzlos.
    Da gefällt mir mein man-in-the-middle Angriff besser: einfach den PIN-Brief meiner Frau öffnen ;-)

  • Sehe ich auch so. Da wird wirklich viel Wind um ein völlig unrealistisches Szenario gemacht….und Clickbaiter und Überschriften-Leser hyperventilieren gleichermaßen….schon krass, wie unreflektiert das heute läuft. @iFun: Bei Euch genauso? Wo ist die redaktionelle Leistung im Sinne einer eigenen Einschätzung?

    Antworten moderated
  • Soweit ich mich erinnere, sollten doch noch nicht einmal Fort Knox sicherer sein, als Daten auf und in deutschen Ausweisen und Pässen?

  • Antworten moderated
  • Warum werden hier schon wieder Kommentare nicht veröffentlich, die weder beleidigend noch diskriminierend etc. sind?
    So langsam bekomme ich das Gefühl, dass die Betreiber hier sehr gerne „blau“ sind….

      • Markus, weil manche Kommentare einfach „dumm“ sind. Und ich finde es richtig und gut, wenn diese (und einige andere) einfach gelöscht werden.

      • Nennst DU(!) Zensur
        (… andere kennen die Bedeutung des Wortes)

    • Zitat von dir: „(…) gepaart mit zu alten Menschen im BSI und anderen Ministerien, das sind die Problem“

      Noch irgendwelche Fragen zum Thema diskreminierende & beleidigende Äußerungen?

      • Ich weiß worauf du hinaus willst, aber es ist keine Diskriminierung oder Beleidigung wenn es ein Fakt ist und der Wahrheit entspricht. Ich arbeite in der IT auf Bundesebene und der häufigste Grund etwas gegen die Wand zu fahren sind alteingesessene Männer, die dass schon immer so gemacht haben und bis zu ihrer Pensionierung auch nicht ändern. Somit werden gerade ganz viele Konzepte erstellt und darauf gewartet, dass die aktuell verantwortlichen Personen endlich ihren Dienstposten freiräumen, um endlich mal mit einer echten Digitalisierung zu beginnen!!

      • BMI, BMF und BMG reagieren quasi nur darauf was das andere Ministerium bestimmt hat, um dann das Gegenteil davon zu machen, nur um einfach scheinbar dagegen zu sein ohne Sinn und Verstand. Trotz Hinweis darauf, dass mit ihrer Entscheidung gegen geltendes Recht verstoßen (zum Beispiel gegen die Bundeshaushaltsordnung) aber trotzdem wird diese Willkür irgendwie gerechtfertigt und wenn man es in den Sand gesetzt hat, auf PowerPoint Folien als Erfolgsprojekt in die Medien getragen.
        Es werden einfach unfassbar viel Steuergelder verschwendet, aufgrund von Sturheit und Beratungsresistenz, während die eigentlichen Vorteile einer Digitalisierung durch kurzfristige Einsparung niemals zum Vorschein kommen.
        Was bringt ein digital zentralisierter Ablageort wie die elektronische Patientenakte, wenn Ärzte, Krankenhäuser, Apotheken nicht darauf zugreifen können, weil sie nunmal keine Bundesbehörden sind und somit nicht im Bundesnetz agieren und den Server überhaupt nicht erreichen können? Das ist einfach nur dumm und kurzsichtig. Egal ob das als Diskrimierung oder Beleidigung missverstanden oder fehlinterpretiert wird…

    • Seltsam. Sonst heißt es immer, ifun sei linksgrün…
      Was denn nun?

      Antworten moderated
  • sehe jetzt auch nicht das Problem. Ist es auch eine Sicherheitslücke wenn ich meinen Ausweis und PIN einer anderen Person gebe, dass die den dann nutzen kann? Irgendwo muss man halt auch selbst drauf aufpassen. Die Technik selbst ist ja solide bei der eID (große Ausnahme inmitten von „Bayern Blockchain AI“-Projekten), aber Technik ist auch nicht die Lösung für alles. Wenn ich mein Ausweis an irgendein Gerät halte und dort meine PIN eingebe, ja dann kann halt alles mögliche passieren. ob nun deeplink hin oder her, entweder hat man ein vertrauenswürdiges Endgerät da oder nicht. Im Taifun ist es auch egal, ob mein Regenschirm aus Plaste oder Blech ist, das Ding geht so oder so kaputt. Hilft nur, Taifune zu meiden.

    • Ein sehr schöner Vergleich mit dem Taifun, und ich stimme grundsätzlich zu.

      Das Szenario könnte aber wie folgt sein: Man hat den ePerso und den PIN-Brief erhalten und begibt sich nun in den AppStore, um die AusweisApp zu laden. Dort schafft es eine gefälschte AusweisApp mit sehr ähnlichem Namen durch Apples Eingangskontrolle und zahlt auch noch etwas Werbegeld, um ganz oben in den Suchergebnissen aufzutauchen (so ähnlich geschehen vor Kurzem mit der gefälschten LastPass-App, die bei Apple ebenfalls nicht aufgefallen ist).

      Unbedarfte User, die diesen Betrug nicht erkennen und sich mit dem ePerso irgendwo authentifizieren wollen, halten ihren Perso an das vertrauenswürdige Gerät, die gefälschte App fängt diese Transaktion nach PIN-Eingabe (die ja auch im besten Vertrauen erfolgt) ab und hat dann eben Zugang zum angesurften Dienst.

      Also: Technik-affine Leute können diesen Taifun sicher meiden und sind auch bei App-Downloads mit der nötigen Portion Vorsicht unterwegs. Aber ich fürchte, so gut im Vermeiden von Taifunen sind halt nicht alle…

      Antworten moderated
  • Und sowas kommt dann da bei raus.. warum bin ich nicht überrascht?

  • Find ich gut. Das naive im Menschen nutzen!

    Antworten moderated
  • 1. Würde man in die App mit einem Universal Link (also per Bundle Identifier linken) wäre dieses Angriffsszeneario gänzlich unmöglich. https://developer.apple.com/ios/universal-links/

    2. Solche Apps würde Apple ohnehin nicht im App Store erlauben. Aber dank EU-Sideloading geht’s ja bald

    Antworten moderated
  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven