Golem hat’s auch, bekommt aber vom Forum keine schöne Vorschau … https://www.golem.de/news/online-ausweisfunktion-schwachstelle-in-eid-verfahren-ermoeglicht-identitaetsklau-2402-182283.html
Zusammenfassung bei Fefe: https://blog.fefe.de/?ts=9b318b79
2 Likes
Den Heise-Artikel und den dort verlinkten Blog-Post hab ich schon gelesen, nicht aber das Research Paper.
Was mir nicht so ganz klar ist: wenn man in irgendeiner Form eine manipulierte App installiert/untergeschoben bekommen hat, aber parallel auch die Original Ausweis App installiert ist, müsste dann nicht unter Android der Dialog aufgehen, in dem man gefragt wird, mit welcher App man die aktuelle Aktion durchführen möchte?
2 Likes
Im Ergebnis betonen wir: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen.
Sollte man meinen … aber dann würde immernoch die richtige Entscheidung an dieser Stelle am Benutzer hängen, was ja nicht gerade ideal ist.
Im Ergebnis fand eine Kontoeröffnung bei einer Bank statt, die nie hätte stattfinden dürfen. Aber laut BSI ist ja pauschal der Benutzer schuld, egal, ob der Benutzer tatsächlich etwas dagegen unternehmen kann oder nicht, also alles gut.
1 Like
Im Moment würde ich das gerne verstehen und abschätzen können. Ob andere/alle was damit anfangen können, ist mir im ersten Schritt egal, weil ich die eID-Funktion schon genutzt habe und die grundsätzlich auch praktisch finde, d.h. auch zukünftig nutzen wollen würde.
Wenn es denn so wäre, dass da der von mir vermutete Dialog käme, würde mir das schon reichen.
Vielleicht passt der Vergleich nicht, aber irgendwelche 2FA-Push-Notifications sollte man ja auch nicht blind abnicken, wenn die völlig unerwartet kommen. Das hängt letztlich auch am Benutzer.
3 Likes