Ausweis-App mit Sicherheitslücke

Der Sicherheitsfachmann Jan Schejbal hat kurz nach ihrem Erscheinen eine Sicherheitslücke in der Software für den elektronischen Personalausweis entdeckt. Der Fehler liegt in der Update-Funktion. Will ein Nutzer die App aktualisieren, prüft die Software zwar, ob das Zertifikat des Updates korrekt ist - aber sie prüft nicht, ob das Zertifikat auch zum Server passt. Ein Angreifer kann also ein beliebiges gültiges Zertifikat nutzen und seine Software als das Update für die Personalausweis-App ausgeben. Schejbal kritisiert am Update zudem, dass die Zip-Datei, die das Update enthält, bereits entpackt wird, bevor eine Prüfung der Signatur stattfindet. Da Zip-Dateien relative Pfadangaben enthalten können, könne mittels einer so manipulierten Datei schädlicher Code ins Dateisystem geschrieben werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das die Software herausgibt, hat die Schwachstellen geprüft und angekündigt, in Kürze ein Update für die Ausweis-App herauszugeben. Man habe die Möglichkeit einer Infektion mit Schadsoftware nachvollziehen können und arbeite daran, die Schwachstelle zu beheben. Bürger sollen den elektronischen Personalausweis auch nutzen können, um Zahlungsgeschäfte im Internet abzuwickeln.