Tag: 17. Januar 2011

Der ePerso bleibt ein Unsicherheitsfaktor

Jan Schejbal, Mitglied der Piratenpartei Deutschland, hat nach der ersten Schwachstelle in Verbindung mit dem ePerso, eine weitere Sicherheitslücke ausgemacht. Es ist sehr einfach, mit gefälschten Internetseiten an die PINs der Nutzer zu kommen. Das demonstriert eine entsprechende Internetseite der Piratenpartei:

Sicherheitslücke im ePerso

Jan schreibt dazu:

Der Angriff funktioniert ganz einfach: Mit JavaScript, HTML und Screenshots (also Bildern) wird eine AusweisApp im Browser simuliert. Der Nutzer denkt, er würde die echte AusweisApp sehen, und gibt seine PIN ein. In diesem Fall wird nach der PIN-Eingabe eine Auflösung angezeigt, bei einem echten Angriff bekäme der Nutzer eine Fehlermeldung zu sehen, damit er keinen Verdacht schöpft, und seine PIN würde an den Server geschickt. Die Fehlermeldung wäre auch nichts besonderes – bei den meisten Seiten funktioniert die Ausweisfunktion eh nicht.

Siehe dazu auch die heutige Pressemitteilung der Piratenpartei.