Zum Inhalt

Sicherheitslücke in „Ausweisapp“ des neuen Personalausweises

Wer die Ausweis- oder Zertifikatsfunktion des neuen Personalausweises nutzen möchte, setzt dazu die Anwendung »Bürgerclient« ein, der nach Juli 2010 in »AusweisApp« umbenannt wurde. In dieser sicherheitskritischen Anwendung ist jetzt eine Sicherheitslücke aufgetaucht.

Ohne Sorgfalt beim Update

Genauer genommen ist es ein Fehler in der Update-Funktion. Das Update wird von einem Server geladen, und zwar per https. Also mit einem Protokoll, welches den Datentransfer verschlüsselt und auch sicherstellt, dass man vom richtigen Server herunterlädt. Allerdings wird letzteres nicht überprüft – nur, ob die Verbindung generell verschlüsselt ist. Mit einem DNS-Hack lässt sich also Schadcode einschleusen.

Quelle: http://www.netzpolitik.org/2010/sicherheitslucke-in-der-ausweis-app/

Weiterführende Informationen

Published inIT-News-KommentareSoftware vorgestellt

Schreibe den ersten Kommentar

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.