"gezielt staatliche Behörden betrogen"
Verimi ID-Wallet: Perso-App lässt einfache Fälschungen durch
Über die iPhone-Applikation Verimi ID-Wallet haben wir auf ifun.de schon mehrfach berichtet. Das Gemeinschaftsprojekt vieler prominenter Konzerne aus der Privatwirtschaft arbeitet an der Digitalisierung von Alltagsdokumenten und ist seit einigen Monaten damit beschäftigt, die Standards für den elektronischen Personalausweis und den elektronischen Führerschein zu erarbeiten.
Sowohl Perso als auch Führerschein lassen sich in der kostenlosen App Verimi ID-Wallet bereits speichern, als nächstes wollen die Beteiligten Unternehmen, zu denen neben der Allianz, Axel Springer und der Bundesdruckerei auch die Deutsche Bahn, die Deutsche Bank, die Deutsche Lufthansa, die Deutsche Telekom, die Mercedes-Benz Group, Samsung und Volkswagen zählen, die Voraussetzungen schaffen, um die Gesundheitskarten der Krankenkassen in ihrer App abzulegen.
- Führerschein auf dem iPhone: Verimi-App ist jetzt live
Von drei Seiten unter Beschuss
Doch ist dies eine gute Idee? Mit Blick auf die Baustellen mit denen sich Verimi gerade konfrontiert sieht, muss diese Frage derzeit wohl verneint werden.
Identverfahren umgangen
Zum einen lässt sich das von der Anwendung eingesetzte Identverfahren schon mit einfachen Bildmanipulationen austricksen. Dies hat der Software-Sicherheitsforscher Martin Tschirsich auf dem Kurznachrichten-Portal Twitter dokumentiert.
In der Verimi ID-Wallet „erfassen die Nutzer ihren Führerschein über das Foto-Ident-Verfahren“ von @Veriff. Ich fotografiere Vorder- und Rückseite meines Führerscheins, ändere digital den Namen und drucke die Bilder am Foto-Kiosk der nächstgelegenen Drogerie überlebensgroß aus… pic.twitter.com/y17uxq7I6C
— Martin Tschirsich (@mtschirs) August 4, 2022
Der im Chaos Computer Club aktive Hacker hat Namen auf seinen Personaldokumenten geändert, das Identverfahren mit Großdruck-Fotos überlistet und besitzt jetzt nicht nur digitale Wunsch-Führerschein mit falschem Namen, sondern auch eine digitale Schweizer Staatsbürgerschaft.
…dann fotografiere ich die manipulierten Bilder mit der App und nehme ein Selfie auf. Der „KI-gestützte Prozess“ bestätigt die Echtheit der Bilder in Sekundenschnelle. Gesamtdauer des “Angriffs”: 30 Minuten. pic.twitter.com/1s8PwHNWi9
— Martin Tschirsich (@mtschirs) August 4, 2022
Datenpanne mit Klartext-Passwörtern
Zum anderen hat die Verimi GmbH mit einer Datenpanne zu kämpfen, die nur durch eine Anfrage nach dem Informationsfreiheitsgesetz an die Öffentlichkeit gelangte. Intern hatte man bei Verimi Login-Daten und Passwörter von ~450.000 Nutzern im Klartext protokolliert.
Betrugsvorwürfe gegen „Verimi Pay“
Und zu guter Letzt stehen noch die aktuellen Vorwürfe der Security-Spezialistin Lilith Wittmann im Raum. Diese unterstellt der Verimi GmbH in ihrem lesenswerten Aufsatz „Verimi: Wenn Berater die Extrameile gehen“ gezielt staatliche Regulierungsbehörden betrogen zu haben. Konkret soll Verimi die Finanzdienstleistungsaufsicht über die Anzahl der durchgeführten „Verimi Pay“-Transaktionen getäuscht haben.
Keine guter Wochenausklang für das Prestigeprojekt.
Und warum verlinkt ihr diese App direkt noch?!
Das kennt sich Journalismus
Da kennt sich jemand aus….
@MisterDan: um Leute wie dich davor zu schützen…
Du solltest ein bisschen Dankbarkeit zeigen
^^
Ich finde es praktisch einfach darauf zu klicken und dan sehe ich ob ich es schon installiert habe.
@KaroX Genau! Gleicher Gedanke, habe draufgeklickt, gesehen, dass ich die noch nie geladen habe. Wunderbar ;)
Damit jeder selbst entscheiden kann, aber den Mist haben will oder nicht.
Das nennt sich Demokratie und selbst Bestimmung.
Und nicht Diktatur.
Schade. Das scheinen leider Stümper zu sein. So eine App muss entweder „richtig“ machen, oder gar nicht.
Die Liste der beteiligten Firmen zeigt doch schon das es nichts werden kann! Je mehr Mitspieler um so geringer die eigene Verantwortung, Kompetenzgerangel ist da vorprogrammiert!
Und mich hat der Name Springer komplett irritiert. Was macht eine Unternehmen, dass vom Lügen lebt (Bild…) bei so einem sensiblen Thema???
Dieser sogenannte Verlag heißt Axel Springer. Denn Springer ist ein guter Wissenschaftsverlag in Heidelberg und hat nichts mit Blödzeitung oder mit intellektuell flacher WeLT(verschwörungs)-Zeitung zu tun.
Dass dir der Springer Verlag nichts sagt, sagt aber auch viel aus.
Tja, ist dann wohl doch nicht so einfach und vielleicht ein Grund warum Scheuer gescheitert ist.
Das hat Scheuer schon ganz gut allein hinbekommen.
Ja und die Verimi betreiber auch.
Scheuer scheiterte am Größenwahn.
Schöne „Ransaktion“ XD
Sollte doch technisch machbar sein, dass die digitale Ausweisfunktion eingebunden wird und über Schnittstellen könnten dann auch die Daten vom Führerschein abgerufen werden. So, wie das Projekt jetzt aufgezogen wird, ist es sinnfrei. Damit kann man sich nicht ernsthaft identifizieren.
„Ihr Verimi-Wallet“ zeigt doch sofort wo es lang geht. Statt irgendwas mit „Ihre Dokumente“ oder so muss man sich selbst permanent in den Vordergrund stellen. Das hat doch schon Geschmäckle. Ich bin absolut für Digitalisierung, aber wenn ich an eRezept, und die anderen Apps, die für die Dokumenten Digitalisierung denke, die hier in den letzten zwei Jahren vorgestellt wurde, dann bleibe ich bei „nein, danke“.
Das eRezept funktioniert von der technischen Seite her tadellos. Hier verwechselst du was. Es liegt an der fehlenden Bereitschaft und Umsetzung in sehr vielen Arztpraxen. Die meisten Apotheken und die Apps sind längst bereit.
Vorsicht, die Ärzte können sich schlicht nicht alle jemanden leisten der das übernimmt! Wenn sich mal wieder eine Schnittstelle ändert, der der Arzt dem hilflos gegenüber…
Da hat bestimmt wieder Smudo seine Finger im Spiel ;-)
Was zu erwarten war
OK, gelöscht!
Identity Verifizierung kann eigentlich nur der Staat gewährleisten.
Die Videoident Services sind vermutlich auch ok
Warum packt man den Führerschein und Co. nicht einfach ins Wallet? Ne da versenkt man lieber wieder Steuergeld. Luca lässt grüßen.
Was hat denn das eine mit dem anderen zu tun?
Hast du das Problem überhaupt verstanden?
In den USA bietet Apple das doch an, Führerscheine in Wallet zu schieben. Und das wird von immer mehr Bundesstaaten angeboten. Und warum sollte sowas nicht mit dem Perso möglich sein. Sind ja statische Dokumente, die sich über längere Zeit nicht ändern.
Mikesch80 hat schon recht, die Führerscheine sollten mit dem gleichen Prozess wie in den USA ins Apple Wallet eingepflegt werden. Ist immerhin ein offener Standard, den Apple da nutzt.
Das frage ich mich auch. In Deutschland können Politiker einfach nicht akzeptieren, dass es bereits fertige und erprobte Lösungen gibt und müssen alles in Eigenregie neu entwickeln lassen. Dann wird irgendein Unternehmen beauftragt, ohne zu wissen, wie es arbeitet und welche Konzepte es hat. Am Ende kommt sowas raus. Das ist oberpeinlich!
Weil das RussenGasFiasko gerade live und in Farbe zeigt, wie gut es läuft, wenn man bei kritischen Ressourcen von irgendwelchen Auslandsmonopolisten abhängt.
Mache Sachen gehören nicht in’s Internet!
Klarwort-Passwörter, das können nur wir Deutschen…
Warum überrascht es mich jetzt nicht?
Ja, leider. Es ist so enttäuschend
Wi kann man sich informieren, ob man von der Klartext-Passwortpanne betroffen ist?
Wenn ich mich dort angemeldet hätte würde ich einfach davon ausgehen betroffen zu sein. Hoffentlich hätte ich kein PW genutzt das ich auch auf anderen Seiten oder Diensten verwendet habe.
Oh wow. Wer hat den damit gerechnet? Das ist ja ne echte Überraschung. Und später kommt noch raus, dass die Firmen mit den Daten etwas machen was sie nicht dürfen. Wie krass wäre das denn? *Ironie aus*
und Deaktivieren und Konto löschen für zu Fehler „Fehlerhafte Anfrage“
Er sollte als Namen für den nächsten Angeiff McLovin wählen
Verimi hat weder beim Perso noch beim Führerschein etwas mit einer offiziellen, staatlich herausgegebenen und BSI-geprüften App zu tun.
Weshalb bezeichnet ihr die krampfhaften Workarounds von Verimi, hier im Rahmen der digitalen Identität irgendetwas alleine auf die Beine zu stellen, dann als „Perso-App“, ifun?