News Online-Personalausweis: Identitätsdiebstahl durch Schwachstelle im eID-Verfahren möglich

[Taxxor]

So selten wie ich mich mit einem Personalausweis identifizieren musste, werde ich das Ding auch aus dem Geldbeutel ziehen können.

Ich sehe eher andersrum, so selten wie ich ihn benötige ist es nervig immer einen Geldbeutel mitzunehmen wo er rein müsste.

Perso,Führerschein und Krankenkarte digital in einem und ich bräuchte überhaupt keinen Geldbeutel mehr, mit Bargeld wird eh nur noch da bezahlt wo es nicht anders geht und dafür kann ich’s dann auch extra passend in der Hosentasche mitnehmen.

 

[n8mahr]

@DickerPirat
deine Meinung in allen Ehren, aber du konstruierst da etwas, was nicht Thema ist.
Es dreht sich hier um Software-Angriffe durch Apps, und nun kommst du mit "wenn man physischen Zugriff hat und den Nutzer zwingt, seine Pin einzugeben". Das ist doch ein vollkommen anders Szenario. Genau so wie von Personen, die dich in´s Vertrauen gezogen haben und deren Pin du kennst. Ich erkenne da echt den Zusammenhang zu einem Software-Angriff nicht.
Und wenn ich dir jetzt sage, wie oft wir früher ganz ungezogene Schmuddelbilder als Bildschirmschoner bei Kumpels aufm Lan eingerichtet haben, glaubst du mir dann, das windows-PCs unsicher sind?

Und das eine Verschlüsselung nutzlos ist bei "physischem Zugriff", wusste ich auch noch nicht. Bis auf Sicherheitsbehörden dürfte niemand über Möglichkeiten verfügen, auf die Daten eines gesperrten (und damit verschlüsselten) Smartphones zu gelangen, ohne es zu entsperren. Und das geht - je nach OS - auch nicht mehr so einfach, ohne den Code zu kennen oder eben jemanden zu zwingen, es zu entsperren. Jedenfalls bezogen auf Modelle der letzten 5 Jahre.

 

[mae1cum77]

so ziemlich jede Software, deren Quellcode frei zugänglich ist.

Nur wenn der Sicherheitsmechanismus der App oder der, durch die App genutzte Prozess, eine Schwachstelle hat, die das Ausleiten der Verbindung erlaubt, wie hier. Ohne die Schwachstelle, gäbe es keine Möglichkeit, den Prozess für eigene Zwecke umzunutzen.

 

[Termy]

Nur wenn der Sicherheitsmechanismus der App eine Schwachstelle hat, die das Ausleiten der Verbindung erlaubt, wie hier.

Die App hat nur eben keine Schwachstelle, die das Ausleiten erlauben würde.

Man könnte sagen, der Prozess hat eine Schwachstelle, so dass die Authentifizierung, die vom User für einen Service gedacht ist auf dem Gerät des Angreifers für einen anderen Service benutzt werden kann.
Da könnte man ggf. mit einer Zweckbindung des Token vielleicht gegensteuern - ob das geht oder ob dadurch z.b. das Anonymitätsprinzip (mit dem z.b. nur das Alter verifiziert werden kann ohne weitere Infos preis zu geben) unmöglich gemacht würde weiß ich aber natürlich nicht.

Und natürlich kann man es als Schwachstelle einstufen, dass Deeplinks verwendet werden - das ist aber meines Wissens irgendwo nötig, wenn man ein offenes System möchte und eben nicht ausschließlich die AusweissApp als möglichen Client voraussetzt. (An der Stelle bin ich mir aber nicht 100% sicher)

 

[mae1cum77]

Die App hat nur eben keine Schwachstelle

War unglücklich, habe das mal etwas präzisiert .

 

[DickerPirat]

Perso,Führerschein und Krankenkarte digital in einem und ich bräuchte überhaupt keinen Geldbeutel mehr, mit Bargeld wird eh nur noch da bezahlt wo es nicht anders geht und dafür kann ich’s dann auch extra passend in der Hosentasche mitnehmen.

Es wird noch einige Zeit vergehen müssen, bis alle mitführpflichtigen Dokumente digital - und vor allem sicher genug - in einem Gerät vereint werden können.

• Personalausweis muss man sowieso nicht dabei haben. (bis auf wenige Ausnahmen)
• eine Geldkarte gibt es bereits digital, auch wenn es noch ein paar Buden gibt, die nur Bargeld akzeptieren
• die Krankenkarte kann bei Notfällen zum Glück nachgereicht werden, aber ansonsten braucht man sie
• der digitale Führerschein war eine Sicherheits-Katastrophe und muss aktuell im Original im Scheckkartenformat vorgezeigt werden und nach EU-Recht bis 2033 analog getauscht werden
• die Zulassungsbescheinigung Teil I muss auch noch im Original mitgeführt werden

Jetzt könnte man theoretisch alles Zuhause lassen und in den selten Fällen, in denen man von der Polizei in einer Verkehrskontrolle angehalten wird, ein Bußgeld von 10 € riskieren. Zumindest hätte dies aber den Vorteil, dass der Führerschein oder Zulassungsbescheinigung Teil I nicht direkt beschlagnahmt werden oder verloren gehen kann, was sehr viel teurer und zeitaufwändiger ist.
Erst wenn ALLES digital möglich ist und einige Jahre keine groben Sicherheitslücken aufweist, lohnt sich für mich die Überlegung, alles zu digitalisieren.
Ansonsten muss man sowieso einen Geldbeutel dabei haben. Das bedeutet, dass man Personalausweis, Krankenkarte und Bargeld auch analog mitführen kann.

Kurz:
Digitale Dokumente entweder ganz oder gar nicht. Und ich möchte, dass die Anbieter dieser Lösungen haften und meine entstehenden Kosten übernehmen, wenn ich aufgrund ihrer Sicherheitslücke einen Schaden erleide. (Bußgelder, Schadenersatz, etc.)

Aktuell kommt es oft vor, dass ich ohne Geldbeutel rausgehe. Ein Smartphone und eine Kreditkarte (in der Smartphonehülle) reicht mir. Führerscheinnummer und Ausweisnummer kenne ich auswendig.

 

[testwurst200]

Ich möchte mich nicht online ausweisen können.
Ich gehe lieber zum Amt...
Ich sage immer, alles ist hackbar - es muss lediglich das Interesse daran bestehen.

 

[Taxxor]

• Personalausweis muss man sowieso nicht dabei haben. (bis auf wenige Ausnahmen)
• eine Geldkarte gibt es bereits digital, auch wenn es noch ein paar Buden gibt, die nur Bargeld akzeptieren
• die Krankenkarte kann bei Notfällen zum Glück nachgereicht werden, aber ansonsten braucht man sie
• der digitale Führerschein war eine Sicherheits-Katastrophe und muss aktuell im Original im Scheckkartenformat vorgezeigt werden und nach EU-Recht bis 2033 analog getauscht werden

Es wäre ja schon mal ein Fortschritt, wenn man alle diese Dinge auf einer einzigen Karte bündeln könnte, da kann ja ein Chip drauf sein, der dann auf dem Amt mit den nötigen Infos bespielt wird.
Wenn diese Karte dann noch etwas robuster ist, sodass man sie einfach dabei haben kann ohne Gefahr zu laufen, dass sie einem in der Tasche kaputt bricht, bräuchte man eigentlich nur noch sein Smartphone und diese eine Karte mit sich führen, bis irgendwann alles auf dem Smartphone möglich ist.

• die Zulassungsbescheinigung Teil I muss auch noch im Original mitgeführt werden

Diese ist aber idR im Auto und nicht am Mann, den außerhalb des Autos benötigt man sie ja nicht

 

[DickerPirat]

@Taxxor
Wer die Zulassungsbescheinigung Teil I im Auto aufbewahrt, handelt fahrlässig. Die Versicherung kann die Zahlung bei einem Diebstahl verweigern. Dazu gibt es bereits Urteile.
Ich rate also dringend davon ab.

Beispiel:
https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=OLG Celle&Datum=09.08.2007&Aktenzeichen=8 U 62/07

 

[Taxxor]

Wer die Zulassungsbescheinigung Teil I im Auto aufbewahrt, handelt fahrlässig. Die Versicherung kann die Zahlung bei einem Diebstahl verweigern. Dazu gibt es bereits Urteile.

Hm, ich dachte da geht es um den Fahrzeugbrief, also Teil II, denn den Schein zu verlieren ist doch eigentlich nicht schlimm solange man den Brief noch hat, denn der bescheinigt ja dass man der Besitzer des Autos ist?
Gut, wieder was gelernt^^

Gibt aber auch gegensätzliche Urteile
https://www.bussgeldkatalog.org/fahrzeugschein-im-auto/#diebstahl_und_der_kfz-schein_ist_im_auto

Eine andere Meinung vertrat das OLG Oldenburg (AZ.: 5 U 153/09). Demnach bestehe nur eine unerhebliche Gefahrerhöhung, wenn der Fahrzeugschein im Auto dauerhaft verbleibt. Voraussetzung ist, dass er nicht sichtbar im Fahrzeug deponiert worden ist.

Demnach wäre es zulässig, die Zulassungsbescheinigung im Handschuhfach zu haben – immerhin kann ein Dieb nicht wissen, dass die Papiere dort verwahrt werden. Eine Fahrlässigkeit besteht folglich nicht.

Generell würde ich im Fall einer Kontrolle(die in den 15 Jahren, die ich Auto fahre bisher noch nie vorgekommen ist) aber auch lieber die 10€ zahlen, als ständig den Schein mitnehmen zu müssen, wenn ich ins Auto steige

 

[DickerPirat]

Da ging es um den Teil 1.
Teil 2 beurkundet dein Eigentum, den würde ich ganz sicher nicht im Auto lassen.

Besitzer = wer das Auto gerade fährt und damit z.B. nicht verkaufen darf
Eigentümer = wem das Auto tatsächlich gehört und damit machen kann, was er möchte

Zum Edit:
Mir ist meine Zeit und Geld zu schade, ggf. über mehrere Instanzen zu klagen, bis ich vielleicht Recht bekomme.
Wie schon erwähnt, zahle ich (auch) lieber 10 € Bußgeld, als das Vielfache davon im blödsten Fall zu riskieren.
Deshalb ist mein Teil 1 im Geldbeutel und nie im Auto. Und mein Ausweis ist IMMER Zuhause, solange ich nicht verreise oder weiß, dass ich es in einer Behörde vorzeigen muss.

Ein Freund einer Versicherungsgesellschaft macht es genauso. Eigentlich mache ich ihm nach.

 

[Taxxor]

Deshalb ist mein Teil 1 im Geldbeutel und nie im Auto. Und mein Ausweis ist IMMER Zuhause, solange ich nicht verreise oder weiß, dass ich es in einer Behörde vorzeigen muss.

Teil 1 würde in meinen Geldbeutel nicht mal ordentlich rein passen und der ist mir eigentlich schon ne nummer zu groß^^ Wäre Teil 1 im Scheckkartenformat, wäre das kein Problem.

Auch finde ich die Begründung der Folgen, wenn er im Auto liegt, nicht so recht schlüssig

Sollte Ihr Auto beispielsweise einem Diebstahl zum Opfer fallen, verfügt der Übeltäter neben dem Kfz automatisch auch über ein offizielles Dokument, wenn Sie den Zulassungsschein im Auto lassen. Gerät er in eine Polizeikontrolle, kann er dieses den Beamten aushändigen und geht problemlos aus der Sache heraus.

Auf dem Schein steht doch ein komplett anderer Name als auf seinem Führerschein, den er ja bei einer Kontrolle auch zeigen muss. Sofern nicht ersichtlich ist, dass es sich um einen Verwandten handen kann, würde mich das als Polizist dazu veranlassen, mal abzufragen ob derjenige als Fahrer eingetragen ist.

 

[Unnu]

Ansonsten bitte gerne mal die Stelle zitieren.

Gerne. … aus dem Paper - nicht dem Artikel(!)
“
IV. ALTERNATIVE WAYS OF PLACING THE EID KERNEL
In addition to the methods described under step 2. above, the attacker can use additional methods to place the modified eID kernel on Alice’s device:
…
2. Creation of a New App: The attacker develops a new app and includes ”eID Login” as part of its func- tionality. For instance, the attacker might create a new gambling app, requiring users to identify them- selves using the eID for security reasons. Since this approach does not mimic any existing app, the likeli- hood of detection during the app store review process is minimal.”

Deine Annahme ist unter 1. beschrieben.

 

[DickerPirat]

Auf dem Schein steht doch ein komplett anderer Name als auf seinem Führerschein, den er ja bei einer Kontrolle auch zeigen muss. Sofern nicht ersichtlich ist, dass es sich um einen Verwandten handen kann, würde mich das als Polizist dazu veranlassen, mal abzufragen ob derjenige als Fahrer eingetragen ist.

Kann auch einem Freund oder Kollegen gehören, was man anhand des Scheins unmöglich herausfinden kann.
Es gibt auch Verheiratete mit zwei unterschiedlichen Nachnamen.

 

[Termy]

the attacker might create a new gambling app, requiring users to identify them- selves using the eID for security reasons.

Auch hier muss die manipulierte App benutzt werden.
Die Unterscheidung zwischen IV-1. und IV-2. ist lediglich, dass unter 1. angenommen wird, dass die präparierte App versucht, sich als AusweisApp auszugeben, unter 2. wird ein "eID-Login" in einer z.b. Glücksspielapp angeboten. In beiden Fällen kann nichts "im Hintergrund" ausgespäht werden, nur weil die App installiert ist.

Das was du beschreibst ist am ehesten unter 2b. Remote Exploit beschrieben - das geht aber eben nicht ohne eine weitergehende Exploitkette oder Root.

 

[Plonktroll]

Nutze das wenn nur am PC und da funktioniert es einwandfrei und hat mir schon viel rungelatsche erspart.

 

[Unnu]

@Termy : Okay, nochmal gelesen. Gehe ich mit.

Allerdings halte ich es für reichlich frech dem Enduser die volle Verantwortung für jeglichen Fehler auf‘s Auge zu drücken.
Denn falls eine manipulierte App aufgespielt werden kann, wie soll ein User das überprüfen können? Vor allem wenn die Quelle eigentlich vertrauenswürdig ist?

 

[Termy]

Allerdings halte ich es für reichlich frech dem Enduser die volle Verantwortung für jeglichen Fehler auf‘s Auge zu drücken.

Sicher nicht für jeglichen Fehler - für das unbedarfte Installieren und Verwenden (!) einer gefälschten App bei etwas so wichtigem wie eID allerdings in meinen Augen schon.

Denn falls eine manipulierte App aufgespielt werden kann, wie soll ein User das überprüfen können? Vor allem wenn die Quelle eigentlich vertrauenswürdig ist?

Das ist ein generelles Problem der AppStores. Allerdings sind dort Supplychain-Angriffe (also dass die richtige App tatsächlich infiziert wird) eher selten, meist handelt es sich um Apps, die mit ähnlichem Namen o.ä. auf Opferfang gehen. Und dagegen kann man sich sehr einfach schützen, indem man z.b. über den Link auf der AusweisApp-Seite geht oder meinetwegen im Store wenigstens mal das Impressum o.ä. anschaut.

Schlussendlich erfordert jedes technische Gerät ein gewisses Maß an Eigenverantwortung. Wie viel hängt auch von der Freiheit ab.
Wenn ich mir ein Handy hole, mit dem ich Apps von Drittanbietern installieren kann und das keine Sandbox und keine extrem strenge Verifzierung für den Store hat, dann ist es meine Verantwortung, diese Apps vor der Installation zu begutachten.
Ich weiß, dass das viel zu viele User nicht oder nicht ausreichend machen, sondern sich fröhlich jede Drecksapp, die nicht bei drei auf den Bäumen ist installieren - aber das ist eben definitiv ein Problem des Anwenders und nicht der Software.

 

[senf.dazu]

Interessante Postion des BSI: Das Endgerät ist unsicher nicht das eID Ausweisverfahren.

Dabei rechnet er die unvermeidbare offizielle AusweisApp vom Anbieter Governikus, der ja wohl vom BSI beauftragt wurde, offenbar nicht zum eID Ausweisverfahren ? Sehr feinsinnige Unterscheidung.

Und die Tatsache das es wohl für deutsche Speziallösungen wie eID kaum einen Weg zu einer sicheren Implementation der AusweisApp unter Nutzung der Secure Enclaves in den Smartphones von Apple oder Google&Co für eine sichere PIN Eingabe gibt. Denn das würde eine Abstimmung und Bereitschaft zur Zusammenarbeit von Governikus mit Apple bzw. Google erfordern - den Herren ihrer Gerätehardware und Secure Enclaves.

Da wär die Wahrscheinlichkeit bei einem internationalen oder EU Online-Ausweisstandard wohl größer .. da Apple und Goole an deren sichere Eingemeindung in die Wallet (ganz wie bei Kreditkarten heute schon) wohl Eigeninteresse haben dürften. Erhöht den Marktwert von Smartphones. Das wär dann aber dann eine Lösung an der Governikus AusweisApp vorbei ..

Noch'ne App .. wird's schon irgenwie richten ? Pfff..

 

[Termy]

Denn das würde eine Abstimmung und Bereitschaft zur Zusammenarbeit von Governikus mit Apple bzw. Google erfordern - den Herren ihrer Gerätehardware und Secure Enclaves.

Ich sehe es als massiven Pluspunkt, dass die App eben NICHT mit proprietärem Müll von Google oder Apple zwangsverheiratet ist.

Wenn dafür DAUs, die es nicht für nötig halten, auch nur zwei Sekunden den Kopf anzuknipsen, bevor man eine App installiert und für eID verwendet, in potentielle Gefahr geraten, dann ist das imho ein kleiner Preis für die vermiedene Abhängigkeit.