Mir ist gerade die Information eines Lesers zugegangen (danke dafür), dass es in der Online-Ausweis-Funktion eID des deutschen Personalausweises eine Schwachstelle CVE-2024-23674 gab. Dieses super sichere Ausweisteil mit PIN-Authentifizierung ließ sich so ganz einfach durch Spoofing aushebeln. Dann konnte man persönliche Daten vom eID-Ausweis extrahieren und die Identität des Opfers annehmen.
Anzeige
Es war nur eine kurze Information, die Thorsten mir auf X in einer persönlichen Meldung zukommen ließ. Er verwies auf die Schwachstelle CVE-2024-23674 in der Online-Ausweis-Funktion eID – das "Herzstück der Online-Authentifizierung in Deutschland".
Und dieses Thema hat es in sich – auf der NIST GOV-Seite findet sich zu CVE-2024-23674 die Information, dass sich die Authentifizierung der Online-Ausweis-Funktion eID des deutschen Personalausweises durch Spoofing umgehen lässt (es ist der 15. Februar 2024 genannt). Ein Man-in-the-Middle-Angreifer kann die Identität eines Opfers annehmen, um Zugang zu staatlichen, medizinischen und finanziellen Ressourcen zu erhalten, und kann auch persönliche Daten von der Karte extrahieren.
Das Ganze ist auch bekannt als "sPACE (Spoofing Password Authenticated Connection Establishment)"-Problem. Dies geschieht durch eine Kombination von Faktoren wie unsichere PIN-Eingabe (bei einfachen Lesegeräten) und eid:// Deeplinking. Das Opfer muss einen modifizierten eID-Kernel verwenden, was der Fall sein kann, wenn das Opfer dazu verleitet wird, eine gefälschte Version einer offiziellen Anwendung zu installieren.
Anzeige
Weitere Details, was genau abläuft und warum das nur bis zum 15. Februar 2024 durch Spoofing möglich war, habe ich nicht gefunden. Ergänzung: Bin etwas knapp an Zeit – auf Medium ist der Artikel des Entdeckers abrufbar (ich konnte ihn noch ohne Registrierung abrufen).
Sprich: Man verwendet nicht die offizielle Ausweis-App des Bund. Die Ausweis-App ist eine Software, die Nutzer auf ihrem Smartphone, Computer oder Tablet installieren, um den Personalausweis, den elektronischen Aufenthaltstitel oder die eID-Karte auszulesen und sich so digital auszuweisen. Darüber hinaus ermöglicht die Ausweis-App (früher mal Ausweis2-App) den verschlüsselten Datenaustausch zwischen Ausweis und Online-Dienst, bei dem sich Nutzer identifizieren möchten.
Das BSI vertritt den Standpunkt: "Die Gewährleistung einer sicheren Betriebsumgebung auf der Client-Seite ist eine Verpflichtung des Ausweisinhabers." Alles schön und gut, aber was ist, wenn die Leute ihren Ausweis mit eID auf fremden Lesegeräten verwenden? Oder was ist, wenn das Smartphone mit der Ausweis-App kompromittiert wurde? Fragen über Fragen.
Ergänzung: Das Thema nimmt wohl Fahrt auf – der Spiegel und Focus haben das Thema groß aufgemacht. Weitere Beitrag finden sich bei Golem und heise. Und noch ein Nachtrag, heise hat hier eine Einschätzung des Sachverhalts diskutiert.
Anzeige
Ich verstehe den ganzen Zirkus um die Ausweis App und eID nicht. Vorhandene ausgereifte Lösungen auf Basis Smartcard Standards und X.509 Zertifikaten wären der bessere Weg. Aber es muß ja unbedingt eine neue ranzige Software sein.
Ich verweigere den eID Sh*ce einfach. Habe den e-Ausweis nie genutzt und verwende auch keine e-Rezepte. Die Woche ein Artikel, dass die e-Rezepte stundenlang ausgefallen sind. Opt-out von der ePA werde ich auch machen.
De-Mail, e-Anwaltspostfach, wurden in der Vergangenheit schon genug zerpflückt. Vielleicht sollte der Staat Sicherheitsforscher belohnen mit Bug-Bounties, statt sie als Hacker zu verfolgen?
Wenn Digitalisierung unterbewusst mit Kummer statt Erleichterung verbunden wird, dann ist klar, warum es wie Sauerbier angepriesen werden muss, weil alles mit Zwang angepriesen werden muss. Läuft der Ausweis von Leuten hier in Kürze ab? Jetzt schnell neuen machen, bevor Ausweisbilder nur noch Digital eingereicht werden können! Stichtag ist bald.
Energiezulage für Studis musste auch Digital erfolgen. Tochter hat danach ihre Accounts direkt wieder gelöscht: "Brauche ich nicht." Aber erstmal Zwang. Die Vorteile liegen bei den Behörden, nicht bei den Bürgern.
Noch was: Kostenlose Sofortüberweisungen haben über 10 Jahre gedauert, erst als alle zu Apple-Pay, PayPal und Co. gerannt sind hat die EU interveniert. Viel zu Spät! Aber hey immerhin ein Erfolg, das wir das jetzt nutzen dürfen.
Freund in FR zahlt für 100GB Mobilfunk was ich in DE für 10GB bezahlen muss. Ich glaube das könnte man ewig so fortführen. Deutschland sollte einfach folgendes tun: Lösung von beliebigem EU-Land kaufen, in dem sie bereits getestet wurde und funktioniert. Das wäre einfacher. Litauen hatte funktionierende eID schon lange vor uns.
Ich mach jetzt den Browser zu, habe schon wieder Plaque
Zum eRezept stapeln sich hier auch die Fundsplitter – mir fehlt angesichts der vielen Cyber-Dingens irgendwie die Zeit, das mal aufzuwischen.
Wobei man auch sagen muss, dass "De-Mail", "e-Anwaltspostfach" und der ganz Kram auch heftig in der Öffentlichkeit stehen und sich die Sicherheitsforscher drauf stürzen.
Wenn man sich andere Produkte vornehmen würde, dann würde es vmtl. in vielen Fällen auch nicht anders aussehen.
Auch im nicht IT-Bereich findet man selten Produkte, wo der Hersteller wirklich ordentlich gearbeitet hat. Die Handbücher sind öfter voller Fehler, ganze Funktionen sind teilweise nicht erwähnt. Das findet man auch nur raus, wenn man sich intensiv damit beschäftigt. Das ist zwar nicht sicherheitsrelevant, aber ich wusste nicht, warum es qualitativ in anderen Bereichen mit der Arbeitsweise anders aussehen sollte. Selbst was in stark reglementierten Bereichen wie Luftfahrt- und Eisenbahn für Fehler passieren.
Hallo Günther,
bitte besuche ein IT-Sicherheitstraining. Dein Vorname lässt vermuten, dass Du in einer Zeit IT gelernt hast, als das Internet noch nicht existierte. Die Dinge haben sich seitdem verändert.
Hallo "a",
bitte besuche ein Sensibilitätstraining. Deine Einstellung lässt vermuten, dass du ziemlich oberflächlich bist. Der Vorname von Personen hat keinerlei Relevanz für ihre berufliche Kompetenz.
Übrigens: Der Blog-Betreiber heißt genauso.
Hallo "a",
dein Name lässt vermuten, dass deine Eltern über den ersten Vokal im Alphabet nicht hinausgekommen sind bei der Namenswahl. Was bitte hat der Vorname mit dem Alter zu tun und erst Recht mit der IT-Kompetenz? Es gibt sicher genug Günter, Karl-Heinz usw. die mehr IT-Kompetenz haben als du. Also bitte sachliche Kommentare.
P.S.: mein Name ist auch schon seit über 40 Jahren der gleiche und wird auch jetzt noch verwendet.
pottsblitz:
"Ich verweigere den eID Sh*ce einfach. "
Wenn das immer und für alle so "einfach" wäre …
Und wenn man alles was Sch*** ist verweigern würde, müssten man immer öfter kräftig drauf Zahlen. Der Staat hat mit seinen eigenen Sch*** "privatisierten Unternehmen vor gemacht wie es geht: DBAG: wie Sie wollen Bar bezahlen? Das kostet dann eine "Service"-Gebühr. Wo steht doch gleich die Sache mit den "offiziellen Zahlungsmitteln und das diese angenommen werden MÜSSEN ? Aha … nur der Staat muss nicht?
Im ÖPNV nehmen die Fahrer vielerorts (oder inzw. überall?) auch kein Bargeld mehr an, bzw. verkaufen gar keine Fahrkarten mehr. Alles nur noch via Internet (Smartphone), weil das hat ja JEDE/R ??? Zum Kotzen diese allg. Unterstellung inzw. Mag zwar viele "Silversurfer" geben, die mit dem ganzen neumodischen Schrunz gut zurecht kommen und diesen sogar toll finden, aber es wird immer Leute geben die damit nicht klar kommen oder es aus egal welchen Gründen nicht wollen. Das ist AUSGRENZUNG 4.0 in diesem sch*** Land!
Bank-Konten … wer sich da immer noch einem Online-Konto verweigert, wird Geschröpft ohne Ende. Und sogar Online-Konten sind keineswegs überwiegend kostenlos. Was lange Zeit das Lockmittel war um die Leute in diese "Falle" zu Locken. Und der Staat / die Politik? *KOTZ* schaut einmal mehr untätig zu. Erst ZWINGEN sie ALLE Arbeitnehmer dazu ein Konto haben zu müssen (Barauszahlung von Löhnen verboten) … und dann kümmert sich keiner darum, das diese Zwangs-Konten kostenfrei bleiben.
Egal über welches Thema man auch Nachdenkt, in diesem Land. Ich kann inzw. gut nachvollziehen, warum Leute prinzipiell NICHT mehr Wählen gehen. Oder eben grundsätzlich als "Wut"-Bürger "Protest" Wählen ! Und kann sogar gut verstehen, warum Leute wider besseren Wissens TROTZDEM solche "Alternativen" Parteien wählen werden …
Die etablierte Politik spricht mittlerweile seit Jahrzehnten immer wieder davon "sich ehrlich zu machen" und lügt und heuchelt und verarscht die Bürger mit jedem Tag mehr … aktuelles Beispiel C. Blindner! Was hat der die letzten zwei Jahre nicht viel erzählt, man müsse besonders "kleine und mittlere Einkommen" nun endlich Entlasten, sehr richtig, das ist defakto seit 74 Jahren überfällig, besonders aber seit ca. 1990 … Und was ist denn nun mit den "Entlastungen"? Nicht mal die Co2-Abgaben-Rückerstattung (Klimageld) gönnt die gelbe Neidpartei den unteren und mittleren Lohn- und Leistungs-Empfängern. Und dann wundern sich diese Leute über Umfragewerte und Wahlergebnisse … wie dumm (korrupt und damit erpressbar) muss man in diesem Land sein um Politiker in Spitzenfunktion werden zu können ???
Wieder einmal die (erneute) Frage, wie sich dieser Kommentar mit dem Thema "Online-Ausweis-Funktion eID mit Schwachstelle CVE-2024-23674" deckt? Bitte in Zukunft überlegen, solche Kommentare bei TELEPOLIS abzugeben, dies hier soll nach wie vor ein technischer und kein politischer Blog bleiben!
Herr Born, bitte übernehmen Sie.
Ich glaube das Datum soll nur aussagen, dass es zum Zeitpunkt der Veröffentlichung immer noch möglich war.
Ansonsten ist es mir aber vollkommen unklar wie man eine Fake-App daran hindern sollte den Ausweis auszulesen, wenn der Benutzer auch noch die Pin eingibt.
Auf spiegel.de steht dazu auch einiges.
Wichtigster Satz:
Der Entdecker will anonym bleiben weil er befürchtet sonst unter den "Hacker-Paragraphen " zu fallen.
Keine weiter Fragen euer Ehren.
War es eine bloße Schachstelle, ist diese auch ohne "Hacking" dokumentierbar. Ist "Hacking" erforderlich hätte seinen Verdacht dem BSI und der Datenschutzbehörde melden können, die sind nämlich zuständig. Oder er fragt die betroffene Organisation um Erlaubnis zur Prüfung an. Mit Zustimmung des Inhabers kann er nämlich "hacken" wie er lustig ist.
Deutschland ≠ Digitalität
Die NIST Seite verlinkt auf eine Seite des Autors.
ctrlalt.medium.com/space-attack-spoofing-eids-password-authenticated-connection-establishment-11561e5657b1
Die Schwachstelle ist nicht beseitigt. Im Gegenteil: "… there seem to be limited alternatives …outside of discontinuing the use of eID for substantial or high security use cases."
Sobald das Smartphone als Lesegerät und für die App fungiert, ist die Sicherheit eingeschränkt. Es wird beschrieben, dass darüber hinaus "the eID system lacks true end-to-end encryption, as the PIN entry occurs on an unsecured endpoint."
Unklar blieb mir, ob nun ein zertifiziertes Lesegerät (z.B. cyberJack, einige Geräte können GKV Karten, Bankkarten und Perso auslesen) einen ausreichenden oder nur verbesserten Schutz gegen Malware (gefälschte App oder kompromittierte benannte Alternativen) bietet.
Schnell zu sein bei der Digitalisierung hat auch Risiken, wie damals die Schwachstelle mit der ohne PIN und Ausweis Daten gelesen werden konnten: http://www.heise.de/news/Sicherheitsluecke-in-E-Ausweisen-Estland-will-Millionen-von-Gemalto-4177761.html
Danke für die Ergänzung – bin heute extrem knapp mit Zeit und hab noch einiges auf dem Stack.
Ich kann jetzt keinen Angriffsvektor bei Kartenlesegeräten mit Display sehen.
Beim Einsatz von Basisgeräten (ohne Tastatur und Display), kann eine Software den PIN halt leicht mitabgreifen. Bei Smartphones kommt dann noch die automatische Umleitung über Deeplinks hinzu, die einen Aufruf einer maliziösen App für die Man-in-the-Middle-Attacke erleichtern.
Diese unkontrollierte Umswitchen beim Aufruf von URLS in Android und iOS ist auch so ein Punkt, der mal überdacht werden sollte.
Das Kartenleser ohne Tastatur und Display unterstützt werden, konterkariert den Aufwand für die Nutzung einer Chipkarte.
Derzeit sehe ich da wenig umdenken. Anders kann ich mir Banking-Apps mit 2FA-Apps auf einem Endgerät nicht erklären. Wenn dann auch noch URLs überall versteckt und gekürzt werden, weil da ja eh keiner hinschaut, wird es selbst für sensibilisierte User immer schwerer den Überblick zu behalten.
"Banking-Apps mit 2FA-Apps"
Tja, war mir auch von Anfang an suspekt. Bin vom Kundenservice IT der Ing-DiBa extra Angerufen worden, weil ich mich weigerte diese App zu benutzen. Was haben die auf mich Eingeredet wie sicher das doch sei … Und siehe da, App wurde gehackt bzw. Sicherheitsmechanismen Umgangen, wie auch immer. So ganz sicher ist das dann wohl doch nicht.
Aber die Finanzmacht der Geld-Mafia ist eben so übermächtig, das auch der 4 stellige Zahlencode für EC und Kreditkarten nach wie vor als "unknackbar" verkauft wird …. wo bleibt da eigentlich der "Fortschritt" ? Die wievielte Gerätegeneration ist denn da inzwischen überall in Verwendung, ohne das man die Geräte zur Einführung wenigstens etwas sicherer Mechanismen vorbereitet hätte … wäre doch möglich gewesen, erst die Geldautomaten und Kassensysteme zu tauschen und am Tag "G" (Tag X kann man ja auch nicht mehr sagen), neue, bessere Karten Auszugeben.
Denn der Grund die vierstelligen PINs beibehalten zu "müssen" war doch immer, das man dann erstmal alle Geräte Austauschen müsse und das wäre ja viel zu teuer … Komisch, für die Umstellung auf den Kontaktlos-Schrunz war es aber nicht zu aufwendig oder zu teuer ? Und die Politik? "Schläft" – wie immer … gute Nacht und schöne Träume!
Eine vierstellige PIN reicht völlig aus, wenn sich der Chip nach mehrmaligen Fehleingaben sperrt.
Macht man im übrigen auch bei sonstigen Smartcards so.
Daran ist nichts unsicher.
Nachtrag: Hab nochmal genauer nachgelesen. Schwachstelle gilt wohl nicht für externe dedizierte Lesegeräte. Das Spoofing Problem besteht darin, dass die gesamte Kommunikation zwar mit der echten App beginnt, aber nach Aufruf des gefälschten Deeplinks (Android und iOS machen es möglich) vor PIN-Eingabe über die durch die URL aufgerufene gefälschte App läuft (wird zusätzlich zur echten App geöffnet).
Hinweise in den "Release Notes" oder bei "Bekannte Fehler" gibt es bei der AusweisApp vom Bund Stand heute nicht.
Die letzte halbwegs passende Meldung ist vom 25.07.2023: "Überarbeitung des Kopplungsprozesses der Funktion Smartphone als Kartenleser. Beide an der Kopplung beteiligten Geräte müssen auf Version 1.26.5 aktualisiert werden."
Aktuellste Version ist Version 2.0.3 vom 19.01.2024.
Trügerische Online-Sicherheit bei Agentur für Arbeit, Banken, Krankenkassen etc.?
Jetzt macht der Entdecker 'CtrlAlt' auch noch den Deutschen Personalausweis "kaputt". Und das BSI antwortet, dass halt der Anwender auf seine Sicherheit selbst achten muss?
Müssten Behörden, Banken, Krankenkassen etc. nicht darauf hinweisen, dass unsere Daten gar nicht sicher sind? Einen Überblick über die vielen Apps auf dem Smartphone, die zusammen mit der Ausweis-App verwendet werden müssen, kann wohl keinem Anwender zugemutet werden. Hier müssen IT-Spezialisten ran!
In den vergangenen beiden Jahren waren zumindest hier vor Ort Papier und Bargeld eine wiederkehrende Alternative, wenn digitale Systeme ausgefallen waren.
Zur mittlerweile veröffentlichten Pressemeldung vom "Bundesamt für Sicherheit in der Informationstechnik (BSI)" (https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240216_Hinweis-auf-eID-Schwachstelle.html) kommentiert Fefe gewohnt scharf in seinem Blog (https://blog.fefe.de/?ts=9b3149de).
Moin,
weil im Text noch von Ausweis2App die Rede ist.
Wurde vor kurzem die 2 entfernt, um u.a. Missverständnis zu vermeiden.
MfG,
Blackii