Lasst Euch nicht veralbern: bei der Bundestagswahl gibt es eine echte Auswahl, und Ihr seid gefordert! – Erste Reaktionen zum ePerso-Hack gibt's von Trend Micro
Chaos Computer Club: Immer noch Sicherheitslücken im elektronischen Personalausweis
Der elektronische Personalausweis lässt sich erneut angreifen. Das berichtet das ARD-Magazin Report München unter Berufung auf einen Experten des Chaos Computer Clubs. Dem sei es gelungen, den Computer mit einem Trojaner zu infizieren, um die PIN einer Nutzerin auszulesen und so ihren Rentenversicherungsverlauf und damit Informationen über ihre Berufstätigkeit auszulesen. Der Experte konnte auch ein Bankkonto unter der Identität der Nutzerin eröffnen.
Das
berichtet Golem.
Die Sendung läuft
heute abend um 21:45 Uhr in der ARD.
Report hat sich das übrigens hier in funktionierend zeigen lassen, bevor sie berichten ;-) Machte einen seriösen Eindruck, das Team. Die Software zum Mitloggen der Bildschirmtastatur und einen Kurzbericht haben wir hier veröffentlicht. Unsere Freunde vom CCC Berlin haben das BMI damals deutlich gewarnt, dass eine Bildschirmtastatur keinen wirksamen Schutz bietet. Nichtsdestotrotz verbreitet das BMI immer noch Basislesegeräte, und behauptete sogar den Reportern der ARD gegenüber, die Bildschirmtastatur sei nicht zu knacken. Da hilft dann nichts anderes als den Gegenbeweis anzutreten.
Das Programm macht einen Screenshot der Bildschirmtastatur. Bei der Ausgabe der AusweisApp ist das Zahlenerkennen besonders einfach: falcon hat eine Software in Labview geklickt, die ihm anzeigt, welches Pixel nur bei welcher Ziffer weiss ist. Die Zahlentabelle nehm ich, und stell so fest, wie die Ziffern verwürfelt sind. Dann kann das Programm Mausklick-Koordinaten in Ziffern übersetzen und wegloggen. Bei einer komplizierteren Software wäre eine Texterkennung notwendig – nicht mal diese Hürde ist in der AusweisApp enthalten.
Es gibt aber noch etwas Bedenkliches: die AusweisApp liefert Softwarekomponenten in veralteten Versionen mit, und das auch in der neuesten Version der AusweisApp. Und manche davon, wie das mitgelieferte Java SE 7U9, haben listenweise Exploits. Wir haben noch nicht geprüft, ob die AusweisApp so gleich auch noch Remote Holes auf den Computer bringt in der aktuellen Version. Einen guten Eindruck macht das aber für Sicherheitssoftware nun ganz und gar nicht.