• Allgemein

ePerso unsicher: Neue Sicherheitslücke im Elektronischen Personalausweis

Elektronischer Unsinn: Auch wenn unsere Damen und Herren Volksvertreter nicht müde werden, den neuen Elektronischen Personalausweis als wahren “Segen des Datenschutzes” und “sichersten Ausweis aller Zeiten” anzupreisen, hat Jan Schejbal von der Piratenpartei Deutschland eine neue Sicherheitslücke beim ePerso entdeckt, so dass der Elektronische Personalausweis nach wie vor als überteuerter elektronischer Unsinn zu bezeichnen ist!

Wer die Sicherheitslücke im ePerso selber testen möchte, benötigt lediglich das das Browser Plugin OWOK der Firma Reiner SCT, welches hier kostenlos zum Download zur Verfügung steht sowie z.B. den Chipkartenleser cyberJack RFID basis, der aktuell für 34,90 Euro hier zu bestellen ist und vor einiger Zeit durch staatliche Subventionen sogar kostenlos über die Computerbild unters Volk gebracht wurde.

ePerso Sicherheit und der Unsinn mit dem Elektronischen Personalausweis

Mit etwas HTML und PHP Grundkenntnissen könnte nun ein böser Bube relativ simpel die schlicht programmierte AusweisApp nachbauen, welche den gutgläubigen Besucher zur Eingabe der persönlichen PIN auffordert.


Über das Browser Plugin OWOK der Firma Reiner SCT kann jedoch über den ePerso auf weitere Daten des potentiellen Opfers zugegriffen werden, sofern der User den Zugriff des Plugins erlaubt, oder der böse Bube die XSS-Lücke entsprechend ausreizt.

Somit wäre der potentielle Datendieb in Besitz aller erforderlichen Daten, um im Namen (und natürlich auf Rechnung) fremder Personen online Shoppen zu gehen und sich die Ware an einen Ort seiner Wahl liefern zu lassen… Schon komisch das Vater Staat es mit Hilfe des Personalausweises Betrügern so einfach zu machen scheint, nicht mehr auf die umständliche Packstation Abzocke und andere Methoden des Betrugs zurückgreifen zu müssen – oder?


Elektronischer Personalausweis und der mögliche Ausweismissbrauch

Hier ein kurzes Video der Piratenpartei, welches die neue Sicherheitslücke beim elektronischen Personalausweis relativ einfach erklärt und natürlich raten wir jedem Besitzer dieses Dokuments davon ab, sich mit dem ePerso irgendwo online zu identifizieren, denn der elektronische Personalausweis ist und bleibt ein potentielles Sicherheitsrisiko!

[youtube]http://www.youtube.com/watch?v=uOyKIQvqYDU[/youtube]

Auf den Seiten der Piratenpartei Deutschland lesen wir hierzu:
“…nun hat Schejbal eine Möglichkeit entdeckt, wie ein Angreifer gleichzeitig zum PIN-Diebstahl auch auf das Lesegerät und somit direkt auf den Ausweis eines Nutzers zugreifen kann. Dadurch könnte der Angreifer die Identität des Inhabers missbrauchen und sich im Internet als der Inhaber, sein Opfer, ausgeben. Wegen der über den ePerso erfolgten Identifizierung wäre es für das Opfer sehr schwer, den Betrug vor Gericht nachzuweisen…” (Quelle: Piratenpartei.de)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.