18.01.11 08:10 Uhr
 4.239
 

PIN des elektronischen Personalausweises kann auch ohne Malware gestohlen werden

Jan Schejbal (Piratenpartei) hat eine neue Attacke, welche mit einem Phishing-Angriff vergleichbar ist, im Zusammenhang mit dem elektronischen Personalausweis demonstriert. Dazu wurde ein FSK18-Bereich auf der Webseite der Piratenpartei zur Verfügung gestellt.

Die Besucher werden dort zur Alterskontrolle aufgefordert. Anstelle der AusweisApp startet aber ein von Schejbal entwickeltes JavaScript-Programm. Optisch sind im Vergleich zur echten AusweisApp kaum Unterschiede festzustellen. Die Besucher werden beim Start der Anwendung aufgefordert, ihre PIN einzugeben.

Doch gibt es funktionell Unterschiede zur echten App. So kann die PIN nicht über die in der echten AusweisApp vorhandene Bildschirmtastatur eingegeben werden. Zudem reagiert die von Jan Schejbal entwickelte App nicht auf alle Schaltflächen. Diese könnten aber von Kriminellen problemlos programmiert werden.


Videoplayer auf dieser Seite ausblenden
WebReporter: leerpe
Rubrik:   High Tech
Schlagworte: Piratenpartei, Malware, Datenklau, PIN, Elektronischer Personalausweis
Quelle: janschejbal.wordpress.com

Jetzt Deinen
Kommentar abgeben!
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

17 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
18.01.2011 08:37 Uhr von UICC
 
+22 | -1
 
ANZEIGEN
Ja wir wissen es: wenn man den Pin wo eingibt wo er nicht hingehört dann ist er weg. Wie überall!
Kommentar ansehen
18.01.2011 08:40 Uhr von Forckbeard
 
+28 | -2
 
ANZEIGEN
*grins*: Ja Ja unsere Bundesregierung und IT = Worlds in Collision.
Vielleicht sollten sie da mal welche mit Ahnung von dem Berreich ranlassen
Kommentar ansehen
18.01.2011 09:13 Uhr von sevenOaks
 
+8 | -2
 
ANZEIGEN
@UICC: ja, leute wie ´wir´ wissen das, und auch das schon seit längerem.
aber hier geht es ja auch darum die immer-noch-nicht-informierten und belehrungsresistenten gedanklich anzuschieben...
Kommentar ansehen
18.01.2011 09:13 Uhr von PeterLustig2009
 
+10 | -10
 
ANZEIGEN
@Forckbeard: Dann erklär mir mal wie du das Phishing verhindern willst :)
Selbst ich als IT-Experte kann dir keinen Schutz nennen der Phishing 100% verhindert.

Wenn ich auf ne Seite gehe die mich abzocken will und ich meine PIN eingebe, dann ist es halt Pech. Da kann niemand was dran ändern
Kommentar ansehen
18.01.2011 09:53 Uhr von Wanred
 
+9 | -1
 
ANZEIGEN
Warnen: Es würde ja schon mal helfen, wenn die Bundesregierung den Ausweis nicht immer als 100% sicher verkaufen würde. Infomaterial worauf man achten muss um im Zusammenhang mit der App Phishing zu erkennen wäre auch ein guter Schritt. Verbesserung der App um sie individuell zu gestalten und so unterscheiden zu können auch. Aber nein, kaum wird auf eine Schwachstelle hingewiesen, schreit der BSI das alles doch immer noch sicher sei und eigentlich ja keine Gefahr bestünde.

Weil nicht sein kann, was nicht sein darf.
Kommentar ansehen
18.01.2011 10:13 Uhr von T0b3
 
+7 | -5
 
ANZEIGEN
Minus, weil dieses Dreckwort "App" mindestens 50x in dieser News benutzt wird..
Kommentar ansehen
18.01.2011 10:31 Uhr von PeterLustig2009
 
+2 | -10
 
ANZEIGEN
@Wanred: Der Ausweis an sich ist 100% sicher. Die Gefahren bestehen im Umgang mit der App und dem Ausweis.
Und auf die Gefahren wird in der beiliegenden Broschüre sehr ausführlich aufmerksam gemacht. Individualisierung der App um sie unterscheiden zu können? Sorry aber das Layout ist schneller kopiert als die das ändern können.

Dass eigentlich keine Gefahr bestünde ist ja auch richtig. Du musst nur aufpassen auf welchen Seiten du rumrennst.

Hört doh einfach mal auf die Regierung für alles verantwortlich zu machen. Der jetzige Personalausweis ist auch nciht sicher. Und der Führerschein, deine EC-Karte usw. auch nciht. Beschwert sich jemand darüber und fordert auf Bankinstitute zu boykottieren?
Kommentar ansehen
18.01.2011 11:05 Uhr von Forckbeard
 
+2 | -2
 
ANZEIGEN
@PeterLustig: zb mit einen passenden Lesegerät, das ein eigenes Pinfeld hat liesse sich da einiges verhindern. Gegen Pishing an sich hilft nur absolute Aufmerksamkeit in den source einer webseite lohnt nur wenn man sich mit html javascript etc auskennt.
100% Sicherheit kann es in der IT nicht geben irgendwo ist immer ein Bug den man nutzen kann.
Und der Ausweis ist nicht sicher da man ihn aus Entfernung auslesen kann RFID Technnik halt. Sicher ist er nur wenn man ihn in eine Mikrowelle legt und den RFID Chip den garaus macht

[ nachträglich editiert von Forckbeard ]
Kommentar ansehen
18.01.2011 11:39 Uhr von Solly
 
+3 | -0
 
ANZEIGEN
@ Forckbeard: "Sicher ist er nur wenn man ihn in eine Mikrowelle legt und den RFID Chip den garaus macht "
Stimmt nicht.
Man kann ihm dann immer noch klauen und so einkaufen gehen. Sicher ist er nur wenn du diesen rückstandslos verbrennst.
Und gegen die Angabe des PIN in der Software würde vielleicht ein Lesegerät mit eigenem Nummernblock helfen (z.B. Reiner SCT cyberJack RFID Komfort)
Kommentar ansehen
18.01.2011 11:39 Uhr von PeterLustig2009
 
+2 | -3
 
ANZEIGEN
@Forckbeard: Es gibt Lesegeräte mit eigenem Pineingabefeld für den elektronischen Personalausweis. Aber auch der überträgt die Daten hinterher die zwar dann verschlüsselt sind sich aber dennoch abgreifen und entschlüsseln lassen.

ich kann dir 100 Pishing-Seiten zeigen in denen selbst ein IT-Profi Schwierigkeiten hat das original von der Betrugsseite zu unterscheiden

100%ige Sicherheit kann es ind er IT nicht geben, sehr richtig. Der Ausweis an sich ist aber sicher, denn die Daten auf dem Ausweis lassen sich nciht manipulieren (heutiger Stand) somit ist die Ausweisfunktion sicher. Die Sicherheit von irgendwelchen Internetseiten kann durch die Bundesregierung nciht gesichert werden.

[...]Und der Ausweis ist nicht sicher da man ihn aus Entfernung auslesen kann RFID Technnik halt. Sicher ist er nur wenn man ihn in eine Mikrowelle legt und den RFID Chip den garaus macht [...]
Ohne PIN liest du aus dem Ausweis gar nichts aus. Diejenigen die erzählen da lägen ungeschützte Informatioenn drauf sind sehr schlecht informiert.

[...]Sicher ist er nur wenn man ihn in eine Mikrowelle legt und den RFID Chip den garaus macht [...]
Klar und wenn du dein Handy zerstörst kannst du sicher sein dass es keine Strahlung mehr aussendet.
Durch Zerstörung des Objektes kann man alles regeln :)
Kommentar ansehen
18.01.2011 11:52 Uhr von Moadieb
 
+1 | -1
 
ANZEIGEN
@PeterLustig2009: "Dann erklär mir mal wie du das Phishing verhindern willst :)
Selbst ich als IT-Experte kann dir keinen Schutz nennen der Phishing 100% verhindert."

Du als "IT-Experte" solltest am Besten wissen, dass der Beste Schutz vor Password Phishing, die Schulung der Benutzer ist...
z.b. niemals seine PIN eingeben auf einer Seite in deren URL kein HTTPS steht, da eine Seite die mit so sensiblen Daten arbeitet stets mit Verschlüsselung und Authentifizierung arbeiten sollte!
Kommentar ansehen
18.01.2011 11:59 Uhr von Earaendil
 
+1 | -1
 
ANZEIGEN
@PeterLustig: Klar gibt es einen Schutz dagegen...einen ganz einfachen:
Schliesse alles was mit Geld zu tun hat persönlich bei deiner Bank ab,ob es Überweisungen sind oder Ähnliches.
Wer aus Bequemlichkeit ständig diese Systeme benutzt , wird ausgebeutet und bestohlen...selber Schuld.
Alles,wozu ein Ausweis nötig ist,kann auch persönlich gemacht werden...wer allerdings meint,durchs www wird das Leben nun kinderleicht und man trägt keine Verantwortung mehr..tja,der macht sich zum Opfer...selber Schuld.Dafür würd es bei mir auch keine Entschädigungen geben.
Kommentar ansehen
18.01.2011 12:52 Uhr von PeterLustig2009
 
+2 | -0
 
ANZEIGEN
@Moadieb: [...]Du als "IT-Experte" solltest am Besten wissen, dass der Beste Schutz vor Password Phishing, die Schulung der Benutzer ist...
z.b. niemals seine PIN eingeben auf einer Seite in deren URL kein HTTPS steht, da eine Seite die mit so sensiblen Daten arbeitet stets mit Verschlüsselung und Authentifizierung arbeiten sollte! [...]
Eine https-Site kann muss aber schon lange kein Schutz vor Pishing sein. Was nützt die beste Schulung, wenn die Seiten immer besser kopiert werden.

Jeder weiß dass wenn er ne Email seiner Bank bekommt man niemals die PIN herausgeben soll. Jeder weiß dass man keine Links aus einer Email benutzt bei der man zur Passwortabfrage aufgefordert wird.
Aber wie bitte willst du dem unbedarften user klar machen, dass wenn er z.B. Homebanking macht er den Quellcode durchlesen soll um Indizien zu finden die auf Pishing hindeuten?

Woher soll der user wissen, dass die App zum verifizieren, gar nciht vom Betreiber kommt?

Klar kann man vorsichtsmaßnahmen ergriefen, wirklichen Schutz gibt es dennoch nciht

@Earaendil
[...]Klar gibt es einen Schutz dagegen...einen ganz einfachen:
Schliesse alles was mit Geld zu tun hat persönlich bei deiner Bank ab,ob es Überweisungen sind oder Ähnliches.[...]
Ok und den Altersnachweis bei der Onlinevideothek erbringst du in denen du bei denen persönlich erscheinst? Die Personenauthentifikation der Website machst auch persönlich??
Klar kann man alles neuzeitliche umgehen und somit die Fehlerquellen und Betrugsquellen minimieren, aber ist das wünschenswert.

[...]Wer aus Bequemlichkeit ständig diese Systeme benutzt , wird ausgebeutet und bestohlen[...]
Ganz so schlimm ist es ja zum Glück nicht :)
Tatsächlich wird gerade einmal ein verschwindend geringer Porzentsatz Opfer von Betrügereien im Internet.

Woher nimmst du die Annahme dass man denken würde durch die ganzen Dinge die das Handeln im Internet vereinfachen, würde man denken man trägt keine Verantwortung mehr?
Kommentar ansehen
18.01.2011 15:43 Uhr von cyrus2k1
 
+1 | -1
 
ANZEIGEN
Die Lösung ist so einfach!! Es müsste einfach nach der Eingabe der Passnummer ein Foto des Passinhabers angezeigt werden. Erst dann sollte die Pin eingegeben werden. Schon wäre Phishing unmöglich! Aber da kommen diese überbezahlten Idioten mal wieder nicht drauf.
Kommentar ansehen
18.01.2011 15:55 Uhr von Earaendil
 
+1 | -2
 
ANZEIGEN
@Peter: Was soll ich dazu noch sagen...du bist grundnaiv...eine ONLINEVIDEOTHEK..ja,das brauch man auch ..hahaha...weils ja keine um die Ecke gibt.
Ich beantworte deine Fragen nicht,denn das sind Perlen vor die Säue..gerade bei dir,weil du vollkommen uneinsichtig bist,und erst durch große Fehler und Unglücke lernen wirst.
Viel Spass bei deinen Lernprozessen :)
Kommentar ansehen
18.01.2011 18:25 Uhr von napster1989
 
+0 | -0
 
ANZEIGEN
Normalerweise: müsste man das DINGEN so massiv ÖFFENTLICH hacken, und allen zeigen wie scheisse das ist.... man muss einfach mal druck aufbauen.. es kann nicht sien, das die bürger das einfach so hinnehmen....
Kommentar ansehen
19.01.2011 09:27 Uhr von rolf.w
 
+0 | -0
 
ANZEIGEN
@napster1989: Grundsätzlich hast Du da nicht Unrecht, aber so Aussagen wie "müsste man das ..." oder "man muss einfach mal ..." sagen doch auch nur, alle anderen sollen es machen, nur ich, ich nicht. Also was soll´s?!

Refresh |<-- <-   1-17/17   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


Copyright ©1999-2016 ShortNews GmbH & Co. KG

Die News auf dieser Website werden eigenverantwortlich von Nutzern erstellt. Die Shortnews GmbH & Co. KG nimmt keinen redaktionellen Einfluss auf die Inhalte.

impressum | agb | archiv | usenet | zur mobilen Ansicht
SCHLIESSEN

Willst Du die Seite wirklich verlassen?


...oder unseren und keine aktuellen News mehr verpassen?