Neuer Personalausweis schon gehackt!

Die zum neuen Personalausweis gehörende Software hat Hackern nicht einmal 24 Stunden standgehalten. Eine eklatante Sicherheitslücke hat der Hacker Jan Schejbal entdeckt und in seinem Blog offengelegt. Dessen Angaben wurden von der Computerzeitschrift c´t überprüft und bestätigt.

(10.11.2010) Darum geht es: Um sich im Internet mit dem neuen Personalausweis identifizieren zu können, ist eine Software erforderlich. Wie heutzutage nahezu jede Software, verfügt auch diese über eine automatische Update-Funktion. Genau dort hat sich jedoch ein fataler Fehler eingeschlichen, der nahezu grotesk wirkt. Zwar stellt die Software die Verbindung zum Updateserver über eine https-Verbindung her und überprüft auch, ob ein gültiges SSL-Zertifikat vorhanden ist, eines überprüft die Software allerdings nicht: Ob das SSL-Zertifikat tatsächlich zum Updateserver gehört! Es wurde offenbar vergessen, eine Überprüfung des Servernamens vorzunehmen. Damit wird jeder Server als Updateserver akzeptiert, der über ein gültiges SSL-Zertifikat verfügt. In Schejbals Worten: Ein SSL Zertifikat, das es "an jeder Ecke gibt". Damit ist es möglich, über die Updatefunktion eine beliebige Malware als vermeintliches Update zu installieren. Bis wann die Sicherheitslücke geschlossen sein wird, ist bis dato nicht bekannt.