Suchen

Sicherheitslücken in der Software für den neuen Personalausweis Hacker manipuliert Update-Funktion des nPA

| Redakteur: Gerald Viola

Keine 24 Stunden nachdem die Software für den elektronischen Personalausweis zum Download bereitgestellt wurde, ist die AusweisApp geknackt: Jan Schejbal ist es gelungen, die Update-Funktion der Software zu manipulieren.

Firmen zum Thema

Sicherheitslücken in der AusweisApp des neuen Personalausweises
Sicherheitslücken in der AusweisApp des neuen Personalausweises
( Archiv: Vogel Business Media )

In seinem Blog beschreibt er die Lücke: Er habe die Update-Funktion des Programms von außen manipuliert, sodass sie auf einen anderen als den vorgesehenen Server zugreift. Mit dieser Methode könne ein Angreifer die Software anweisen, anstatt einer Aktualisierung Schadsoftware auf den Rechner des Nutzers aufzuspielen.

Zwar sei es unwahrscheinlich, dass der Personalausweis selbst über die Lücke ausspioniert werden kann. Aber es könnten Viren oder andere Schädlinge in den Computer des Users eindringen.

Aus dem Bundesamt für Sicherheit in der Informationstechnik verlautet inzwischen: Das BSI prüfe derzeit gemeinsam mit dem Hersteller der Software, ob der beschriebene Angriff durchführbar sei und welche Gegenmaßnahmen gegebenenfalls notwendig sind. Sollte eine Schwachstelle in der Software bestehen, werde das BSI unverzüglich eine neue Version der Software bereitstellen und die Öffentlichkeit entsprechend informieren.

Update: Das BSI hat inzwischen „das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen.“ Eine neue AusweisApp solle in Kürze bereitgestellt werden.

(ID:2048233)