Er ist noch nicht mal einen Monat zu haben und schon kommt er nicht mehr aus den Schlagzeilen. Von vielen Kritikern schon befürchtet, wurde bei der vor wenigen Tagen freigegebenen AusweisApp schon ein Exploit veröffentlicht, der zwei Designfehler in der Update-Routine nutzt. Dadurch wird zwar der Personalausweis nicht angegriffen, aber es lässt sich Software auf dem PC einschleusen, auf dem die AusweisApp läuft.
Nachdem sich die AusweisApp erfolgreich mit dem Server verbunden hat der die Updates liefert, überprüft sie zwar ob das Zertifikat gültig ist, aber nicht, ob es auch auf den Namen des regulären Update-Servers ausgestellt ist. Falls durch diverse Manipulationen die Verbindung dann beispielsweise zu einem anderen Server umgelenkt wird, versucht die AusweisApp ihre Updates halt von dort zu laden. Dadurch können unerwünschte Dateien auf den PC des Anwenders gelangen. Eine manipulierte Antwort kann zum Beispiel dafür sorgen, dass beispielsweise ein beliebiges ZIP-Archiv herunter geladen und entpackt wird. Dies stellt natürlich ein hohes Sicherheitsrisiko dar, da so unerwünschte Dateien auf dem PC des Ausweisinhabers platziert werden können.
Die Sicherheit des eigentlichen Personalausweises ist zwar nicht direkt gefährdet, dennoch dürften diese beiden relativ einfachen Fehler in einer vom BSI (Bundesamtes für Sicherheit in der Informationstechnik) geprüften Software nicht auftauchen. Eine Prüfung der vermeintlichen Sicherheitslücke in der Software AusweisApp, die zur Nutzung der eID-Funktion des neuen Personalausweises bereit gestellt wurde ist übrigens noch nicht abgeschlossen. Das BSI prüft derzeit gemeinsam mit dem Hersteller der Software, ob der beschriebene Angriff durchführbar ist und welche Gegenmaßnahmen gegebenenfalls notwendig sind. Sollte eine Schwachstelle in der Software bestehen, wird das BSI unverzüglich eine neue Version der Software bereitstellen und die Öffentlichkeit entsprechend informieren heißt es.
Die fehlende Prüfung des SSL-Zertifikats sowie das Auspacken des empfangenen Archivs vor dem Prüfen der Signatur müssen also noch mal geprüft werden. Wie lange das dauert und wann bei Bestätigung ein "Update" der Software erfolgt wird sich zeigen.
