Pirat deckt erneut Sicherheitslücke beim ePerso auf - Ausweismissbrauch möglich

Pressemitteilung der Piratenpartei Deutschland

Betrügerische Webseiten können Zugriff auf elektronische Personalausweise erlangen und diese missbrauchen, um sich bei anderen Seiten auszuweisen. Dies ermöglicht eine jetzt neu aufgedeckte Sicherheitslücke zusammen mit einer bereits bekannten Angriffstaktik.

Jan Schejbal, Mitglied der Piratenpartei Deutschland, wies bereits im November 2010 kurz nach Einführung des ePerso die Unsicherheit der dazugehörigen AusweisApp nach. Im Januar diesen Jahres demonstrierte er dann eine Möglichkeit, wie Angreifer die PIN des neuen Personalausweises ausspähen können. Da neben der PIN noch der Zugriff auf den Ausweis nötig ist, konnte durch diese Lücke allein der Ausweis jedoch noch nicht missbraucht werden.

Nun hat Schejbal eine Möglichkeit entdeckt, wie ein Angreifer gleichzeitig zum PIN-Diebstahl auch auf das Lesegerät und somit direkt auf den Ausweis eines Nutzers zugreifen kann. Dadurch könnte der Angreifer die Identität des Inhabers missbrauchen und sich im Internet als der Inhaber, sein Opfer, ausgeben. Wegen der über den ePerso erfolgten Identifizierung wäre es für das Opfer sehr schwer, den Betrug vor Gericht nachzuweisen.  weiter...

Quelle: piratenpartei.de