AusweisApp: Hacker deckt kritische Schwachstelle auf, mit der sich Identitäten übernehmen lassen
von André Westphal | 29 Kommentare
Geht es um Digitalisierungsmaßnahmen in deutschen Behörden, ist man mit einer gesunden Portion Skepsis oft ganz gut beraten. Wir erinnern uns etwa an die eklatanten Sicherheitslücken beim ID-Wallet, die aufgedeckt worden sind. Doch auch in der AusweisApp hat ein Hacker nun eine kritische Schwachstelle gefunden. Diese erlaubt es, fremde Identitäten zu übernehmen. Es gibt Zweifel daran, ob sich die Sicherheitslücke überhaupt schließen lässt.
Der anonyme Hacker mit dem Alias CtrlAlt beschreibt den Angriff bei Medium. Die Konsequenzen solcher Angriffe wären fatal, denn Cyber-Kriminelle könnten damit z. B. bei Behörden eine fremde Identität vortäuschen, Bankkonten eröffnen und mehr. Benötigt wird für einen erfolgreichen Angriff immerhin der Zugriff auf das Smartphone des Opfers, das muss aber nicht physisch vor Ort geschehen, sondern kann z. B. über mit Malware verseuchte Apps erreicht werden. So ließe sich dann die über die AusweisApp erzeugte PIN abfangen und missbrauchen.
Eine Angriffsmöglichkeit sind auch auf Websites hinterlegte Deeplinks, etwa auf der Website der Arbeitsagentur, die zur AusweisApp weiterleiten sollen. Hier kann Malware bzw. eine infizierte App ansetzen und eingreifen, ohne, dass der Anwender davon etwas mitbekommt. Der Hacker CtrlAlt gibt dabei an, das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor rund anderthalb Monaten über die Angriffsmöglichkeit informiert zu haben.
BSI zuckt laut Hacker nur mit den Schultern
Das BSI habe die Korrektheit der Beschreibungen eingeräumt, wollte aber keine weiteren Maßnahmen ergreifen, da die Schwachstelle CVE-2024–23674 am Ende nicht direkt auf die AusweisApp an sich zurückzuführen sei, sondern auf potenzielle Kompromittierungen der Gerätesicherheit. Hier obliege es den Nutzern selbst entsprechende Vorkehrungen zu treffen.
CtrlAlt hält die Reaktion des BSIs für unangemessen. So könnte die Behörde beispielsweise immerhin eine Liste aller sicheren Apps mit eID-Funktion veröffentlichen, was es auch für Laien erleichtern würde, missbräuchliche Apps zu erkennen.
Update: Statement des BSI:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde. Das BSI nimmt solche Hinweise ernst, behandelt sie stets vertraulich und führt entsprechende Analysen durch.
Im Ergebnis betont das BSI: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen. Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion. Aus Sicht des BSI ist die Online-Ausweisfunktion weiterhin die sicherste Möglichkeit für Bürgerinnen und Bürger sich digital auszuweisen.
- FASZINIERENDES FULL-HD+-DISPLAY UND DOLBY ATMOS; Genießen Sie Filme, Spiele und Musik auf dem flüssigen 6,5"-FHD+-Display mit 120 Hz und...
- 50-MP-KAMERASYSTEM MIT OIS; Dank optischer Bildstabilisierung nehmen Sie auch bei wenig Licht perfekte Fotos und Videos auf – ganz ohne...
- Machen Sie wunderschön lebendige Fotos, egal ob Tag oder Nacht mit einem fortschrittlichen 50-MP-Kamerasystem mit Quad-Pixel-Technologie
- Angetrieben durch einen Snapdragon 480+ 5G Prozessor und 4/6/8GB RAM
- Gute fotografische Leistung: Die Frontkamera des Smartphones hat 48 Millionen Pixel, eine Blende von 1: 2,0 und eine feste Brennweite. Die...
- Dual-Karte: Das mobile Telefon unterstützt Dual-Card-Dual-Standby und 128G-Speicherkartenerweiterung. (Unterstützt die gleichzeitige...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Internet ist halt Neuland.
Herzlichen Glückwünsch. Du hast erfolgreich den Artikel nicht gelesen bzw. das Problem nicht verstanden und dann einen nonsens Kommentar verfasst.
Wie hier und auch an anderer Stelle schon geschrieben wurde, hat das hier geschilderte Problem nichts mit „Neuland“ oder Inkompetenz zu tun. Das ist eher ein Problem am OS selbst und nichts was man mal eben mit einem App Update beheben kann. Ein Vorschlag des Finders selbst war es ja sogar eine Liste mit offiziellen vertrauenswürdigen Apps zu veröffentlichen (das prüft das BSI aktuell). Das wäre aber natürlich auch kein technischer fix.
@TR
>Das ist eher ein Problem am OS selbst und nichts was man mal eben mit einem App Update beheben kann
Ich wäre an deiner Stelle etwas vorsichtiger, anderen Kommentatoren mangelndes Verständnis vorzuwerfen, denn da hakt’s bei dir anscheinend auch, denn:
>nichts was man mal eben mit einem App Update beheben kann
ist Quatsch, man kann sehr wohl die sogenannten Deep Links absichern, siehe z.B. hier:
https://developer.android.com/training/app-links/verify-android-applinks
https://developer.apple.com/documentation/xcode/supporting-associated-domains
Glückwunsch. Da hat jemand das Konzept der Ausweis-App nicht verstanden. Jede (!) Website die die online Ausweis Funktion nutzen will (zumindest mit DeepLinks) würde ein App-Update nötig machen. Blöd, wenn man sich eigentlich nicht nur bei Behörden sondern auch bei Unternehmen, Banken, … irgendwann damit ausweisen können. Nicht sehr zweckmäßig.
Vielleicht könnte man die Anfragen aber über einen eigenen Server leiten, der eine aktuelle Liste aller Anbieter führt.
Beides aber alles andere als trivial.
>Glückwunsch. Da hat jemand das Konzept der Ausweis-App nicht verstanden.
Ich kann mich nur wiederholen: Ich wäre an deiner Stelle etwas vorsichtiger, anderen Kommentatoren mangelndes Verständnis vorzuwerfen.
Die in dem „Paper“ beschriebene Lücke wird durch die korrekte Verwendung von Universal Links aus den verlinkten Dokumentationen verhindert, weil dann die „falsche“ App gar nicht erst beim Auswahldialog zur Verfügung gestanden hätte.
>Beides aber alles andere als trivial.
Deutlich trivialer als unbemerkt Malware in die offiziellen Stores zu pushen und den Nutzer dazu zu bringen, diese auch noch zu installieren, meinst du nicht?
@dieter: https://www.heise.de/hintergrund/eID-und-AusweisApp-kritische-Sicherheitsluecke-aber-auch-gefaehrlich-9632374.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag
Was du sagst stimmt natürlich. Man kann an der Stelle mit Deep Links die Sicherheit etwas verbessern und das sollte man auch tun. Nichtsdestotrotz bleibt, wie ich auch Initial geschrieben habe, ein Problem dadurch immer noch bestehen: Wenn du einen Trojaner (und das ist das Angriffsszenario was beschrieben wird) hast, hast du eh ein Problem. Selbst mit Deep Links. Dann kommt eben ein Angriff, wo der User die Trojaner App installiert hat (ist ja scheinbar trivial, die wem unterzujubeln) und von dort aus direkt ein Bankkonto eröffnen soll (hat der Angreifer ihm halt so gesagt). Die Trojaner App füllt dann automatisiert ein Formular in Bank X aus und öffnet die richtige AusweisApp, wo der User dann nur noch bestätigt. Am Ende ist hier halt immer ein Teil der Verantwortung beim Nutzer.
Meine erste Antwort habe ich übrigens bewusst so begonnen, weil Grade in dem Kontext die Aussage
> Internet ist halt Neuland.
einfach wirklich mal unangebracht ist. Meine Antwort war daher genau so plakativ wie der ursprüngliche Kommentar.
Ah ja, wo verortest du denn das Problem in diesem Fall? Ursächlich ist nämlich der Nutzer, der möglichst einfach komfortabel für alles sein Smartphone nutzen möchte. Komfort und Sicherheit gehen nicht zusammen.
Ich fände es manchmal ganz interessant, wie sicher denn z.B. die Eröffnung eines Bankkontos mit normalem Ausweis ist. Gibt es dort nicht auch Möglichkeiten des Betruges? Wie genau wird dabei der Ausweis geprüft? Also einmal, dass der Ausweis echt ist aber auch, dass es sich wirklich um die betreffende Person handelt. Denn 100% Sicherheit wird es nicht geben. Letztlich ist es eine Abwägung zwischen Aufwand, Kosten, benötigter Sicherheit, Komfort…
Die Frage ist… interessant.
Also das letzte mal als ich das gemacht habe, wurde mein Ausweis eingehend von einer Postmitarbeiterin (oder -beamtin) inspiziert, ebenso hat sie abgeglichen ob ich die Person bin, zu der dieser Ausweis gehört.
So wie es sich beim PostIdent eben gehört.
Ist das 100% sicher? Nein, auch hier gibt es eine Fehlermarge, klar. Ich würde die aber auch nicht als besonders hoch ansehen, denn einen Ausweis überzeugend zu fälschen und damit vor einer prüfenden Person unbefangen aufzutreten ist schon eine Leistung.
Dagegen ist das unbedarfte installieren einer – sagen wir mal – „AusweisApp3“ die zwar aussieht wie die echte, es aber nicht ist, ein aus meiner Sicht viel wahrscheinlicheres Szenario.
Du meinst das gleiche Post ident wie ich, also das beim Wasserpfeifenkiosk um die Ecke? Stimmt, der hat neulich auch meinen Ausweis „eingehend“ geprüft und dann „abgeglichen“ dass ich das auch wirklich bin. War nur etwas nebelig in dem Raum…
😀
Nein, ich meine das PostIdent in einer „echten“ Filiale, in der das sehr korrekt durchgeführt wurde.
Es scheint in der Tat so, dass das BSI Recht hat, die Schwachstelle an sich ist nicht die App selber. In einer kontrollierten Umgebung laufen lassen kann man sie auf dem Smartphone nicht.
Das muss man beim Design des Gesamtsystems aber berücksichtigen. Die Client-Seite ist immer unsicher, da man sie nicht kontrollieren kann. In dieser Ausgangslage sicher zu bleiben, schaffen andere Systeme trotzdem.
So ganz verstehe ich das nicht. Wie kommt der Hacker an meinen Ausweis und die dazugehörige PIN?
Über eine „Fake“ Ausweis App die er in den AppStore hochlädt und dich dazu bringt die App runterzuladen.
IMO ist die Schwachstelle hier nicht in der AusweisApp, sondern im Deeplnking Verhalten der Betriebssysteme.
Stark vereinfacht an einem Beispiel erklärt: Du willst eine URL mit deinem Handy öffnen und hast dafür 5 verschiedene Apps. Dein Handy fragt dich „Womit willst du das öffnen?“ und du wählst eine App aus.
So funktioniert das hier auch. Du hast „irgendwoher“ (laut Entdecker ist das sehr einfach möglich…) eine Fake App untergejubelt bekommen und die URL auf die du klickst wird jetzt nicht mit der AusweisApp sondern mit der Fake App geöffnet. Da gibst du deine Pin ein, wodurch der Angreifer sie erhält.
Meiner Meinung nach hat das BSI hier gar nicht so Unrecht. Ja, es IST ein Problem. Aber das ist genau so ein Problem mit jeder anderen App. Einen fast identischen Angriff gab’s ja auch schon auf TAN Apps. Habe aber nie gehört, dass das in der breiten Masse mal ausgenutzt wurde. Wahrscheinlich, weil es eben doch nicht „soooo easy“ ist, jedem eine Fake App unterzujubeln.
Lustig in diesem Zusammenhang ist die Bestrebung der EU, dass die App-Stores der beiden Hersteller geöffnet werden sollen und das Installieren aus unsicheren Quellen bequem möglich sein soll. Wobei das bei Android schon immer ging. Ein Musterbeispiel, wie man sich mit Ansage selbst in den Fuß schießt 🙂
Da machst du dir die Welt aber schön einfach. Alternativer App Store != unsichere Quellen.
Wenn du die Ausweisfunktion mit deinem Handy und einer kompromittierten Ausweisapp benutzt, kann der Angreifer diesen Authentifizierungsvorgang kapern und gegen einen anderen Dienst laufen lassen.
Du willst dich z.B. bei der Rentenversicherung anmelden, die kompromittierte App leitet diese Authentifizierung aber und zu einer Bank um, ohne dass du es mitbekommst. Hierbei spielt es natürlich eine große Rolle, dass du dir diese kompromittierte App heruntergeladen hast. Die offizielle App ist nicht betroffen! Außerdem funktioniert es nur, wenn du die PIN auch am Handy eingibst. Wenn du das Handy als Kartenleser für deinen PC nutzt, gilt dies nicht. Ebenso ist die Verwendung eines physikalischen Lesegerätes sicher.
Ist in dem verlinkten Artikel mit vielen Füllwörtern beschrieben:
1. Der Hacker baut eine App die scheinbar nicht mit Ausweis zu tun hat, aber eine modifizierte Version der AusweisApp enthält und bringt sein späteres Opfer dazu, diese zu installieren.
2. Das Opfer geht auf eine Website die Onlineidentifikation nutzt und diese per Deeplink startet. Das Handy startet jetzt aber nicht die echte AusweisApp sondern die BetrügerApp, die sich als AusweisApp im System ausgibt
3. Die BetrügerApp sieht jetzt aus wie die echte AusweisApp, leitet die Schnittstelle zum Ausweis und die PIN-Eingabe zum Betrüger um, der damit die Anmeldung bei der Website wo das Opfer hin wollte erledigt, damit es für das Opfer aussieht als sei alles gut. Das dauert aber ein kleines wenig länger als üblich, weil
4. Der Betrüger während die BetrügerApp auf dem OpferHandy offen ist z.B. ein Bankkonto mit dem Ausweis des Opfers eröffnet, die Kommunikation mit dem Ausweis des Opfers läuft über die BetrügerApp auf dem Opferhandy und die PIN hat das Opfer eben ja auch in die BetrügerApp eingegeben. So lange also der Ausweis in der Nähe des OpferHandys und die BetrügerApp noch aktiv ist, kann der Betrüger den Ausweis nutzen. Er hat ja Zugang zu Ausweis und PIN, beiden Faktoren.
Dazu musste er keine Sicherheitsfunktionen auf dem Handy des Opfers umgehen, weil sowohl Google als auch Apple sehr schlamping waren, als sie die Deeplinks die direkt installierte Apps öffnen eingeführt haben. An der Stelle ist das eigentliche Problem: Wenn sicher gestellt wäre, dass ein Link auf die AusweisApp auch wirklich nur die offizielle AusweisApp und keine andere App starten kann, wäre der gesamte Angriffsweg weg. Und dieser Angriff gilt im grunde für alle irgendwie sicherheitsrelevanten Apps, die man per Deeplink bequem starten kann… ob sich dann die richtige App öffnet oder eine App die wie die richtige App aussieht, wenn sie über diesen Deeplink geöffnet wird und sonst Sudokus anbietet ist Glückssache.
Schützen kann man sich aber auch relativ einfach: Selbst die richtige App starten.
Lustig finde ich eine seiner „Lösungen“: „Er schlägt stattdessen vor, als erste Gegenmaßnahme eine offizielle Liste aller sicheren Apps mit eID-Funktion öffentlich zu machen.“
Lesen wird gerade heutzutage völlig überbewertet. Wenn die Leute lesen würden, was sie so anklicken und installieren wollen, dann wäre eine große Sicherheitslücke bereits geschlossen.
Phishing funktioniert je gerade auch wegen unserer eingebauten „Fehlerkorrektur“.
„weiterhin die sicherste Möglichkeit“
Jo klar, wenn alle kacke sind dann ist die hier halt am wenigsten kacke.
Ich war bei „Zugriff auf das Smartphone des Opfers“ raus. Das ist hier nicht anders wie bei vielen anderen Sicherheitslücken auch. Ja, das kann sicherlich missbraucht werden, tatsächlich aber ist das eher theoretisch. Letztlich wird man keine App und kein System so sicher machen können, dass sich solche Angriffe zu 100 % ausschließen lassen, auch nicht bei größten Bemühungen. Das endet oft nur in übermäßig komplizierten und aufwändigen Installations- und Authetifikationsverfahren, dass man als Nutzer schnell die Lust darauf verliert. und am Ende kann doch immer irgendwas passieren.
Nicht falsch verstehen, damit meine ich nicht, dass man Sicherheitsverfahren nun außen vorlassen sollte, aber wenn man solche Sachen nutzen möchte, muss man auch bereit sein, ein gewisses Risiko einzugehen. Wenn dieses Risiko der entscheidende Grund ist, solche Sachen abzulehnen, dann kann man sich auch gleich komplett vom Internet und allem, was dazu gehört, verabschieden.
Sobald deer Staat seine Finger bei einer Software im Spiel hat, kannst du diese getrost in die Tonne kloppen.
Du hast aber mitbekommen, dass das Produkt aus Deutschland sicher ist, und erst ein Problem aufkommt, wenn das Betriebssystem aus den USA (sowohl im Fall iOS als auch Android) eine Lücke aufweist?
Das sicherste Verfahren ist physische anwesenheit von Person und physischem ausweis. Wenn man das nicht will ist leider weniger Sicherheit mit im Spiel. Liest sich für mich wie die einrichtung einer „man in the middle“-Attacke über eine Fake App. Also nix neues nur schlau ausgedacht.
Da kann man jedem nur ‚Brain.exe‘ empfehlen. Gibt es für alle Systeme, ist OpenSource und funktioniert auch ohne Internetverbindung.
Mehr gibts hier mit Download für iOS, Android, Linux, und Windows-User:
Externer Link: https://brain-exe.de/leistungen-brain-exe/
Und die Verantwortlichen sehen darin nicht mal wirklich ein Problem. Das ist das schlimmste an der Sache. Die ganze Geschichte tut genau das nicht mehr wofür sie eigentlich gemacht ist. Würde ich einen Totalausfall nennen.
Du gibst jemandem deinen Wohnungsschlüssel, und er ist nicht einer von denen, denen du deinen Schlüssel geben willst. Was können Schloss und Schlüssel dafür???