Basisleser weiterhin kritische Schwachstelle des elektronischen / neuen Personalausweises

image-123498-thumb302-jcti

Quelle: dapd

Report München der ARD wird heute Abend (21:45) einen Beitrag zur bekannten Sicherheitslücke des neuen bzw. elektronischen Personalausweises senden. Die grundsätzliche Strategie wurde 2011 von Jan Schejbal vorgestellt und basiert darauf, dass ein Keylogger die PIN während der Eingabe durch den Benutzer auslesen kann. Dies ist möglich, wenn der PC des Nutzers zum einen kompromittiert wurde (ein Keylogger muss installiert sein) und wenn zum anderen durch den Benutzer lediglich der ‚Basisleser‘ eingesetzt wird – dieser Kartenleser, der standardmäßig und kostenlos verteilt wird, hat keine eigene Tastatur zur Eingabe der PIN.

Volker Birk des CCC hat in einem Test für Report München die Bildschirmtastatur des Benutzers mittels des Keyloggers ausgelesen und konnte danach – ohne Besitz des Ausweises – sensible Daten auslesen und hätte sogar ein Bankkonto unter dem Namen des Benutzers eröffnen können. Den verwendeten Keylogger hat der Chaos Computer Club Winterthur hier samt Quellcode veröffentlicht.

Das Programm ist ein einfacher Keylogger, der mit Hooks arbytet. Zusätzlich zum Aufzeichnen von Tastendrücken wartet es auf das Erscheinen der Bildschirmtastatur. Wird die bemerkt, so erstellt das Programm intern einen Screenshot – und schaut, welche Zahl auf welchem Feld ist. Mausklicks werden dann automatisch in die jeweils gedrückte Ziffer übersetzt. Die Ergebnisse sieht man in %TEMP%\clicky.log

Das grundsätzliche Problem ist, dass ein PC immer unsicher ist und relativ leicht infiziert werden kann – dadurch ist der Angriff auf die AusweisApp und somit den neuen Personalausweis auch relativ leicht möglich falls der Basisleser eingesetzt wird. Sinnvoller wäre es, wenn schon der Basisleser ein Keypad hätte. Bundesinnenminister Hans-Peter Friedrich wiegelt in der Sendung die Kritik mit der Aussage ab, dass Benutzer selbst dafür Sorge zu tragen haben, dass ihr PC ’sicher‘ ist.

Man muss eben auch dafür sorgen, dass man versucht, seinen Computer so gut wie möglich zu schützen. Insofern kann man nicht sagen, dass automatisch dieses Basismodell weniger Sicherheit bietet.

Es ist interessant, dass die Bundesregierung lieber eine PR Agentur engagiert, die den „elektronischen Perso“ (ePerso) kurzer Hand in „neuen Perso“ (nPA), um den Personalausweis in ein besseres Licht zu rücken, statt offensichtliche Sicherheitslücken zu beseitigen.

28 Kommentare
  1. Jan-Peter Kleinhans 27. Aug 2013 @ 17:24
      • Peter Ludwig 28. Aug 2013 @ 10:11
      • AlanTuring 28. Aug 2013 @ 9:34
  2. Marc Langer 28. Aug 2013 @ 8:40
  3. Steffen Winkler 28. Aug 2013 @ 9:16
  4. Uwe Siegrist 28. Aug 2013 @ 13:32
  5. Enrico Weigelt, metu 29. Aug 2013 @ 4:56
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden