Quelle: Flickr-Account der Piratenpartei
Das Mitglied der Piratenpartei Jan Schejbal hat bereits im November des letzten Jahres eine Sicherheitslücke in der AusweisApp, der Anwendungssofware des neuen ePersos, aufgedeckt. Durch diese Schwachstelle wäre es möglich gewesen, auf den Rechner des Nutzers Schadsoftware aufzuspielen.
Nun hat Schejbal einen Weg gefunden, um die ePerso-PIN eines Nutzers auszuspähen, ohne hierzu überhaupt etwas auf dessen Rechner installieren zu müssen. Der Angriff wird beim Anmeldevorgang auf der Webseite http://FSK18.Piratenpartei.de demonstriert.
»Die letzte Sicherheitslücke in der AusweisApp, die ich gefunden hatte, ließ sich mit ein paar Zeilen Code und einem Update lösen. Dieses neue Problem bekommt man nur in den Griff, wenn man die Nutzer dazu bringt, aufzupassen – und das ist viel schwieriger« sagt Jan Schejbal zu seiner Idee, die er – zusammen mit einer Anleitung, wie man sich schützen kann – in seinem Blog ausführlich erklärt. »Der Nutzer kann sich zwar schützen, indem er auf bestimmte Merkmale achtet, aber das wird in den Hochglanzbroschüren zum Ausweis leider nicht erwähnt.«
Daniel Flachshaar, Mitglied des Bundesvorstands der Piratenpartei, ergänzt: »Wir PIRATEN sind froh, dass anscheinend vor Jan Schejbal niemand auf den Gedanken gekommen ist, diese Schwachstelle auszunutzen und wir sie nun rechtzeitig öffentlich aufdecken können. Dass auf diese Weise bald die ersten PINs gestohlen werden, wird sich aber trotzdem nicht vermeiden lassen. Und dass die PINs missbraucht werden können, wurde schon nachgewiesen.«
»Diese neue Schwachstelle reiht sich ein in eine lange Reihe von Fehlschlägen, die die Einführung des neues Personalausweises mit sich gebracht hat. Egal, was die etablierten Parteien und ihre sogenannten Spezialisten versuchen, den Bürgern weis zu machen. Der neue Personalausweis ist in seiner derzeitigen Form ein Fluch und keinesfalls ein Segen. Wieder einmal haben sie auf ganzer Linie versagt. Und wieder muss der Bürger ihre Fehler ausbaden«, führt Flachshaar weiter aus und schließt mit den Worten: »Ich bin heilfroh, dass mein alter Ausweis noch viele Jahre gültig ist. Bis zu seinem Ablaufdatum wird dieses Land hoffentlich endlich von Vernunft regiert. Die zahlreichen Wahlen in diesem Jahr bieten vielen Bürgern die Möglichkeit, dazu einen ersten Beitrag zu leisten.«
Hinweis:
Auch wer noch nicht Besitzer der AusweisApp ist, kann die Schwachstelle durch die Eingabe einer beliebigen PIN beim Anmelden auf der Seite http://FSK18.Piratenpartei.de nachvollziehen.
