![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Mir ist gerade die Information eines Lesers zugegangen (danke daf\u00fcr), dass es in der Online-Ausweis-Funktion eID des deutschen Personalausweises eine Schwachstelle CVE-2024-23674 gab. Dieses super sichere Ausweisteil mit PIN-Authentifizierung lie\u00df sich so ganz einfach durch Spoofing aushebeln. Dann konnte man pers\u00f6nliche Daten vom eID-Ausweis extrahieren und die Identit\u00e4t des Opfers annehmen.<\/p>\n
<\/p>\n
Es war nur eine kurze Information, die Thorsten mir auf X in einer pers\u00f6nlichen Meldung zukommen lie\u00df. Er verwies auf die Schwachstelle CVE-2024-23674 in der Online-Ausweis-Funktion eID – das \"Herzst\u00fcck der Online-Authentifizierung in Deutschland\".<\/p>\n
![\"Online-Ausweis-Funktion](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2024\/02\/image-23.png\" "\\"Online-Ausweis-Funktion")
<\/p>\n
Und dieses Thema hat es in sich – auf der NIST GOV-Seite findet sich zu CVE-2024-23674<\/a> die Information, dass sich die Authentifizierung der Online-Ausweis-Funktion eID des deutschen Personalausweises durch Spoofing umgehen l\u00e4sst (es ist der 15. Februar 2024 genannt). Ein Man-in-the-Middle-Angreifer kann die Identit\u00e4t eines Opfers annehmen, um Zugang zu staatlichen, medizinischen und finanziellen Ressourcen zu erhalten, und kann auch pers\u00f6nliche Daten von der Karte extrahieren.<\/p>\n Das Ganze ist auch bekannt als \"sPACE (Spoofing Password Authenticated Connection Establishment)\"-Problem. Dies geschieht durch eine Kombination von Faktoren wie unsichere PIN-Eingabe (bei einfachen Leseger\u00e4ten) und eid:\/\/ Deeplinking<\/em>. Das Opfer muss einen modifizierten eID-Kernel verwenden, was der Fall sein kann, wenn das Opfer dazu verleitet wird, eine gef\u00e4lschte Version einer offiziellen Anwendung zu installieren.<\/p>\n Weitere Details, was genau\u00a0 abl\u00e4uft und warum das nur bis zum 15. Februar 2024 durch Spoofing m\u00f6glich war, habe ich nicht gefunden. Erg\u00e4nzung:<\/strong> Bin etwas knapp an Zeit – auf Medium ist der Artikel des Entdeckers<\/a> abrufbar (ich konnte ihn noch ohne Registrierung abrufen).<\/p>\n Sprich: Man verwendet nicht die offizielle Ausweis-App<\/a> des Bund. Die Ausweis-App ist eine Software, die Nutzer auf ihrem Smartphone, Computer oder Tablet installieren, um den Personalausweis, den elektronischen Aufenthaltstitel oder die eID-Karte auszulesen und sich so digital auszuweisen. Dar\u00fcber hinaus erm\u00f6glicht die Ausweis-App (fr\u00fcher mal Ausweis2-App) den verschl\u00fcsselten Datenaustausch zwischen Ausweis und Online-Dienst, bei dem sich\u00a0 Nutzer identifizieren m\u00f6chten.<\/p>\n Das BSI vertritt den Standpunkt: \"Die Gew\u00e4hrleistung einer sicheren Betriebsumgebung auf der Client-Seite ist eine Verpflichtung des Ausweisinhabers.\" Alles sch\u00f6n und gut, aber was ist, wenn die Leute ihren Ausweis mit eID auf fremden Leseger\u00e4ten verwenden? Oder was ist, wenn das Smartphone mit der Ausweis-App kompromittiert wurde? Fragen \u00fcber Fragen.<\/p>\n Erg\u00e4nzung:<\/strong> Das Thema nimmt wohl Fahrt auf – der Spiegel<\/a> und Focus<\/a> haben das Thema gro\u00df aufgemacht. Weitere Beitrag finden sich bei Golem<\/a> und heise<\/a>. Und noch ein Nachtrag, heise hat hier eine Einsch\u00e4tzung<\/a> des Sachverhalts diskutiert.<\/p>\n","protected":false},"excerpt":{"rendered":" Mir ist gerade die Information eines Lesers zugegangen (danke daf\u00fcr), dass es in der Online-Ausweis-Funktion eID des deutschen Personalausweises eine Schwachstelle CVE-2024-23674 gab. Dieses super sichere Ausweisteil mit PIN-Authentifizierung lie\u00df sich so ganz einfach durch Spoofing aushebeln. Dann konnte man … Weiterlesen