Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsOnline-Personalausweis: Identitätsdiebstahl durch Schwachstelle im eID-Verfahren möglich
Wer personalausweis auf sein Handy digitalisiert und sich einbildet sicher zusein. Mal ein kleines gedanken experiment. Eine App die man Nutzt wird vor den Update ausgetauscht gegen eine Version mit Backdoor und schon hast die die passende versäuchte Version auf ein Handy. Wer nicht glaub des es jemals passieren könnte.
Ich erinnere mich nur an den CCleaner Fall. Klar ist ein Andriod/IOS weniger vergleichbar mit Windows, aber das ist alles nur Software. Paar kontrollen nicht aufgepasst und es hat sich erledigt. https://www.zdnet.de/88312581/beliebtes-windows-tool-ccleaner-mit-malware-verseucht/
Smartphones sind unsicherer als Windows PCs und da heutzutage die meisten Menschen ihre "wichtigen" Daten eher auf Smartphones als auf PCs speichern, ist das Risiko entsprechend größer.
Die jüngeren Generationen haben zum Teil nicht mal einen PC oder nutzen diesen nur für Spiele.
Und nu hat man immer noch die gleiche Sorgfaltspflicht. Wenn deine Bank eine App dafür hat, dann solltest du eben auch sicher sein, dass die App, die du installierst auch die richtige ist
Sir Luckal0t schrieb:
Davon kann bereits eine kompromittierende dabei sein, von der Du gar ncihts weißt.
Was aber für diesen Angriff erst mal gar nichts hilft. Du musst die kompromittierte App schon für die richtige halten und mit ihr in der Form interagieren, dass du deinen Perso ans NFC hälst und den PIN eingibst.
Ja, aber es war nur sehr kurz online und du musst auf ein sechseinhalb Jahre altes Ereignis zurückgreifen, um eines zu finden. Es passiert eben nicht, wie andere schrieben, millionenfach mit vertrauenswürdigen App-Anbietern, sondern millionenfach nur mit Junkware aus Sideloading-Quellen. Selbst mit abgelaufenen Android-Versionen ist die Schadhäufigkeit eher gering, sofern man öffentliche WLANs so gar nicht nutzt - und ja, nicht jeder nutzt öffentliche WLANs.
Fehlt noch, dass jedem Linux-Anwender ein Antivirus-Wächter-Programm aufgezwungen wird, weil die Distribution Mageia Linux vor 10 Jahren mal bedenklich auf Sicherheitswarnungen reagierte.
Ich glaube auch nicht, dass viele Nicht-Nerds Sideloading aktivieren und Möchtegern-Geeks, die das tun und dennoch Ausweisverifizierung oder auch Wallets auf ihrem Smartphone nutzen, sind keine DAUs sondern BAUs - dumm dorfscht soi, aba nedd blääd
das ist der komplett falsche Ansatz der Ansatz muss lauten: es gibt kein sicheres Verfahr - Punkt.
Und eigentlich ist diese angeblich (ein-)eindeutige Identifikation/Verifikation in 99% aller Anträge komplett unnötig.
Einfach ein online Antrag idealerweise mit einer Personen Kennziffer(die vom Finanzamt entwickelt sich dazu) + (sofort)Überweisung reicht als Identifikation eigentlich komplett aus, da die Kontonummer eine Identifikation voraussetzte. Daher entfällt bei den meisten Verträgen z.b. Versicherungen bei Lastschrift eine zusätzliche Identifikation/Verifikation.
Alternativ würde es schon ausreichen wen man alles online beantragen kann und dann vor Ort nur kurz Ausweis vorlegen und z.B. Kennzeichen stempeln ohne Wartezeit und Bearbeitungsdauer.
Aber nein wir müssen uns ein-eindeutig identifizieren und bekommen dann per normaler Post Amtliche Siegel die wir oder Jeder der den Brief abfischt, auch auf "AH:SS 1933" Kennzeichen kleben kann.
Ergänzung ()
Marcel55 schrieb:
s ist ein lokaler Angriff auf das Smartphone notwendig
NEIN das muss eben NICHT Passieren es reicht eine App aus dem ganz offiziellen Appstore deines Smartphone diese App muss nur manipuliert sein.
Das Grund Problem ist und bleibt das etwas was du auf einem Smartphone kopieren kann KEINEN 2. Faktor darstellt es ist nur Wissen das man beliebig kopieren /clonen kann wie auch ein ganzes Phone an sich.
Das Grund Problem ist das es niemals nie nicht unter keinen Umständen eine ein-eindeutige Identifikation über das Internet geben kann, in der IT nennt man das auch zero trust. Man kan hier durch strickte Trennung der Faktoren einen gewissen Schutz erreichen.
Aber dieses Online Ident ist auch bei mind. 99% aller Fälle die wir als Bürger wollen überhaupt nicht notwendig es reicht Antrag+ Überweisung um über die Kontodaten ausreichen Verifiziert und identifiziert zu sein. Bei vielen dingen wäre ein Abholschalter der(nur kurz) Ausweis prüft auch etwas das alle entlastet und gleichzeitig ehrblich sicherer ist als alternativ die Zustellung über normale Briefpost die derzeit häufig angewandt wird.
Ich bin bis vor dieser News eigentlich davon ausgegangen, dass diese speziellen Lesegeräte die einzig mögliche Art sind, die eID zu nutzen. War ich wohl zu naiv. Ich käme nicht einmal auf die Idee, das per Smartphone-App zu nutzen, das wäre mir einfach zu unsicher.
Ich war vor 3 Monaten quasi gezwungen, die eID erstmalig zu nutzen. Das ganze Verfahren überhaupt ans Laufen zu bekommen ist meiner Meinung nach sehr umständlich. Seit 2020 kann man hier Pkw als Privatperson nur noch mit Termin in der Zulassungsstelle anmelden. Abmelden geht im Webformular ohne Identifikation. Zweimal wurde mein Termin abgesagt, da waren schon 3 Wochen um. Auf den dritten hätte ich wieder mehr als 3 Wochen warten müssen. Das ist einfach nur noch zum Kotzen. Wie soll man als berufstätiger Mensch 6 Wochen ohne Auto auskommen, wenn Öffis oder Fahrrad keine Alternative sind? Ich hätte das über eine Werkstatt innerhalb von ein paar Stunden gegen einen "kleinen" Obulus zwischen 70 und 250 € machen lassen können, aber das ist auch unverschämt.
Über kurz oder lang werden wir kaum drumherumkommen, die eID regelmäßig zu nutzen, auch wenn es wahrscheinlich noch 10 oder 20 Jahre dauern wird. Die Staatsdiener in hiesigen Ämtern und Bürgerbüros tun jetzt schon alles dafür, einem die Besuche dort zu verleiden.
[...]
Einfach ein online Antrag idealerweise mit einer Personen Kennziffer(die vom Finanzamt entwickelt sich dazu) + (sofort)Überweisung reicht als Identifikation eigentlich komplett aus,[...]
Wo denn? Es passiert täglich mit Sideloading-Junkware, aber wann war das letzte mal das offizielle "BBC Sounds" oder "Spotify" oder "DHL" oder "Postbank BestSign" von diesen "fast täglichen" Codeeinschleusungen betroffen? Und warum kriege ich nicht jeden Tag einen Herzinfarkt, wenn ich LibreOffice von deren Website herunterlade oder aus dem Fedora-Repository? Überall fast täglich Code-Einschleusungen?
Nicht sicher sondern ausreichend sicher durch die im Idealfall sofort Überweisung beim Antrag ist der Vorgang bezahlt das heißt man kann keine Fremde Person durch Scherzanträge schädigen. Zum Anderen erhält die Behörde die Kontodaten darüber bist du bereits ausreichend identifiziert weil bei der Kontoeröffnung eine eindeutige Identifikation erforderlich ist. Daher reicht bei Verträgen und Versicherungen das Lastschrift Verfahren. (hier wegen Punkt1 nicht sinnvoll)
MountWalker schrieb:
Wo denn? Es passiert täglich mit Sideloading-Junkware, aber wann war das letzte mal das offizielle "BBC Sounds" oder "Spotify" oder "DHL" oder "Postbank BestSign" von diesen "fast täglichen" Codeeinschleusungen betroffen?
Finde die Diskussion um die Sicherheit der eID etwas seltsam. Eine Unterschrift und ein Passbild zu fälschen sind wesentlich einfacher als diese Herangehensweise. Wenn ich daran denke, wie einfach es ist, sich bei Behörden etwa telefonisch als jemand anderes auszugeben und teilweise sensible Informationen abzugreifen, erscheint mir die Manipulation einer App doch sehr aufwendig.
Ich habe mir jetzt mal das Paper durchgelesen. Prost Mahlzeit. Das ist zur Zeit ein eID Totalschaden!
- Es kann irgendeine App sein , die eben diesen Kernel enthält. Völlig Wurscht welche. Ergo kann die kein Opfer zuverlässig erkennen.
Damit erledigt sich die Argumentation nur sichere Apps, aus vertrauenswürdigen Quellen zu installieren.
- Die Angaben / Eingaben der Opfer werden im Hintergrund abgefangen und ggf. umgeleitet. Das Opfer bekommt hiervon nichts mit. Das benutzt die offizielle App!
— Das Opfer nutzt die eID wie vorgesehen und schließt den von ihm initiierten Prozess erfolgreich ab. Nur jetzt hat der Angreifer halt auch die Daten. Alle die er brauchte.
Es werden keinerlei Privilegien, Root oder sonstwelche Rechte benötigt.
Ob die neuesten Patches oder Virenscanner installiert sind ist irrelevant.
Klassischer MitM, den sie sogar hätten verhindern können, wären sie den Empfehlungen von Google / Apple gefolgt und hätten für‘s Linken nicht eid:// genutzt.
Und dann hauen die eine derartige Krisen -PR raus. Unglaublich!
Ergänzung ()
Termy schrieb:
Du musst die kompromittierte App schon für die richtige halten und mit ihr in der Form interagieren, dass du deinen Perso ans NFC hälst und den PIN eingibst.
Das ist doch ein vollkommen anderes Thema, das eben von dir verknüpfte ist Phishing mit ähnlichem, aber nicht gleichem Namen und das wovon ich vorhin sprach war Code-Einschleusung in das echte, offizielle Programmpaket. Ja, ui, wer auf Phishing reinfällt, lebt gefährlich, das tut er aber eben auch generell auf jedem Computersystem - dann musst du auch Online-Banking für unbenutzbar erklären... Nicht "LassPass" an Stelle von "LastPass" zu installieren, ist, naja in dem Punkt schließe ich mich Termy an.
@MountWalker Nein du hast das Problem immer noch nicht verstanden lies was Unnu schreibt.
Das verfahren ist auf Smartphone offen für Manipulation via jeder x beliebigen 2. App
Und nein ich habe dir 2 Beispiele gegeben wo du in das echte Programmpaket auch Mailware einschleusen kannst.
Option A Entwickler angreifen und Fake über seine Server ausrollen passiert auch regelmäßig bisher größter fall war Noptya wo Ukrainische Elster äquivalent kompromittiert wurde.
Option B Spoofing das ist KEIN Phishing sondern der Austausch von Paket A durch Paket B auf dem Weg zum Kunden.
Und ja online Banking mit nur einem Faktor (Smartphone) ist und bleibt unsicher. Dabei spielt es eigentlich keine Rolle ob die Bank eine oder 2 Apps , pin/fingerabdruck /face scann verlangt, dadurch das es auf dem selben Gerät läuft ist es ein einziger Faktor der zudem beliebig geklont werden kann. Natürlich hilft jedes bisschen es Angreifern zu erschweren. Teilweise warnt gar die BAFIN https://www.tagesschau.de/wirtschaft/verbraucher/schadsoftware-banking-apps-101.html
Sicherheit auf einem Smartphone ist ein pures Glücksspiel, bei dem man auch als erfahrener Nutzer fast nichts tun kann. Die regelmäßigen News zu gehackten Datenbanken, Apps, Sicherheitslücken, usw. beweisen es.
Was ist die Alternative? Filialen befinden sich bei den meisten Unternehmen stark im Abbau oder existieren überhaupt nicht. Also bleibt die Post.
Und hast du dir mal die analogen Prozesse angeschaut? Ich habe letztens für meine Mutter eine Renten- bzw. Lebensversicherung angeschrieben. Name, Adresse, Vertragsnummer und ihre aktuelle Bankverbindung zur Auszahlung mitgeteilt, sie unterschreibt, fertig.
Das reichte in der Praxis aus, um einen fünfstelligen Betrag zu bewegen. Meinst du, ihre Unterschrift wurde vorher von einem Gutachter analysiert? Im Leben nicht. Hätte ich die wie zu Schulzeiten auf mancher Krankmeldung einfach selbst gekrakelt, wäre das auch durchgegangen.
Bei digitalen Prozessen macht man aus jeder kleinen Lücke, bei der der Nutzer mehrere Fehler machen muss und eine Ausnutzung real nicht vorkommt, einen riesigen Elefanten, währenddessen brauchst du in der ach so sicheren alten Welt einfach gar keine Verifikation.
@MountWalker Nein du hast das Problem immer noch nicht verstanden lies was Unnu schreibt.
Das verfahren ist auf Smartphone offen für Manipulation via jeder x beliebigen 2. App
[...]
Ich weiß, jede x-beliebige App und diese x-beliebige App kann auf zwei Weisen schadhaften Code enthalten, entweder durch Code-Einschleusung in eine echte App eines vertrauenswürdigen Anbieters oder es ist eine Phishing-App, wie die von dir verknüpften. Das hatte ich auch vorhin schon verstanden und mit diesem Verständnis stehe ich nach wie vor bei meiner Meinung in meinem vorangegangenen Beitrag.
Ich nutze Online-Banking auf einem Gerät und identifiziere mich über das Smartphone - würde nie am Smartphone beides machen.
Die BestSign-App läßt sich nicht ohne mehrfache Verifizierung mit dem Gerät und dem Konto koppeln. Mußte wegen meiner Dummheit 2x einen Code nachbestellen, da der Prozess abbrach und der alte instant ungültig wurde (kein 2. Versuch), für diesen mußte ich mich ausweisen. Das übernimmt man nicht mal ebenso.
Und hast du dir mal die analogen Prozesse angeschaut? Ich habe letztens für meine Mutter eine Renten- bzw. Lebensversicherung angeschrieben. Name, Adresse, Vertragsnummer und ihre aktuelle Bankverbindung zur Auszahlung mitgeteilt, sie unterschreibt, fertig.
Das reichte in der Praxis aus, um einen fünfstelligen Betrag zu bewegen.
Der große Unterschied ist später kann ein Gutachter das tun und feststellen es war Betrug. bei e-ID geht es um eine ein-eindeutige Identifikation in der Rechtsgultig, nicht anfechtbar ein Vertrag geschlossen werden kann oder wie im Beispiel ein Konto auf fremden Namen eröffnet.
Der Sicherheitsforscher hat nun ganz Real ein Konto das auf eine andere Person läuft, wenn er damit Hamas etwas überweist, hat diese Person ein echtes Problem und keine Belege die zu prüfen wären bzw. diese führen sogar wirklich zu der Person.
Ergänzung ()
mae1cum77 schrieb:
Ich nutze Online-Banking auf einem Gerät und identifiziere mich über das Smartphone - würde nie am Smartphone beides machen.
