Täuschung bei der Passwort-gesicherten Verbindungseinrichtung von Online Ausweisfunktion

Online Ausweis

Die Aufdeckung einer kritischen Schwachstelle im deutschen Ausweis-System ermöglicht Angreifern durch Apps skalierbare Angriffe, was die Sicherheit wichtiger Dienste gefährdet und die Notwendigkeit unterstreicht, die Schutzmaßnahmen dringend zu verstärken.

2024BlogFebruar
pexels tima miroshnichenko 5380651

Bildquelle: Foto von Tima Miroshnichenko: https://www.pexels.com/de-de/foto/technologie-display-monitor-anonym-5380651/

Von „CtrlAlt“

In einer bahnbrechenden Enthüllung wurde eine kritische Schwachstelle im deutschen eID-System, bekannt als „Online-Ausweis-Funktion“, identifiziert. Diese Schwachstelle stellt eine ernsthafte Bedrohung für die Integrität der Hardware-Sicherheit des deutschen Nationalen Identitätsausweises dar. Sie ermöglicht Angreifern, skalierbare Man-in-the-Middle-Angriffe durchzuführen, ohne dass eine Fernausführung von Code, physischer Zugang oder andere komplexe Methoden erforderlich sind, sondern lediglich durch Apps in offiziellen App-Stores. Diese Schwachstelle, gekennzeichnet mit der CVE-ID CVE-2024–23674 und einer CVSS-Bewertung von 9,7 (Kritisch), untergräbt die Sicherheit von staatlichen Diensten, eHealth-Plattformen und Bankdienstleistungen, die auf eID vertrauen, und legt persönliche Daten unbefugtem Zugriff offen.

Trotz der Einhaltung der Sicherheitsempfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) bleibt die Schwachstelle ausnutzbar, was auf einen Konstruktionsfehler hinweist, statt auf eine einfache Nachlässigkeit. Die Reaktion des BSI, die die Verantwortung für die Sicherheit der Geräte auf die Nutzer abwälzt, hat eine Debatte über die realistischen Erwartungen an die Fähigkeiten der Nutzer zur Aufrechterhaltung einer solchen Sicherheit entfacht.

Das deutsche eID-System, das für eine sichere Online-Authentifizierung konzipiert wurde, ist kompromittiert, da die Schwachstelle es ermöglicht, beide Authentifizierungsfaktoren (physischer Besitz und Wissen/PIN) gleichzeitig zu umgehen. Das Fehlen von Mechanismen zur Validierung der Endpunkte zwischen dem eID-Server und dem eID-Client des Nutzers erleichtert diese Angriffe, was die Abhängigkeit des Systems von Basislesern, hauptsächlich Smartphones, aufgrund von Markttrends weg von physischen Smartcard-Lesern hervorhebt.

Zur Demonstration der Ausnutzbarkeit dieser Schwachstelle wurde ein erfolgreicher Angriff durchgeführt, um ein betrügerisches Bankkonto im Namen eines Opfers zu eröffnen. Dies zeigt die Wirksamkeit des Angriffs auch auf Geräten, die den Sicherheitsprotokollen des BSI folgen. Dieser Angriff hat nicht nur die Schwachstellen im Design des eID-Systems aufgedeckt, sondern auch die dringende Notwendigkeit betont, die Sicherheitsmaßnahmen zu überdenken und zu stärken, um die Privatsphäre und die finanzielle Sicherheit der Bürger zu schützen.

Quellen: https://ctrlalt.medium.com/space-attack-spoofing-eids-password-authenticated-connection-establishment-11561e5657b1

https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240216_Hinweis-auf-eID-Schwachstelle.html

Downloads: