ūüá©ūüá™ AusweisApp: Kritische Schwachstelle erlaubt √úbernahme fremder Identit√§ten

Golem hat’s auch, bekommt aber vom Forum keine schöne Vorschau … https://www.golem.de/news/online-ausweisfunktion-schwachstelle-in-eid-verfahren-ermoeglicht-identitaetsklau-2402-182283.html

Zusammenfassung bei Fefe: https://blog.fefe.de/?ts=9b318b79

2 Likes

Den Heise-Artikel und den dort verlinkten Blog-Post hab ich schon gelesen, nicht aber das Research Paper.

Was mir nicht so ganz klar ist: wenn man in irgendeiner Form eine manipulierte App installiert/untergeschoben bekommen hat, aber parallel auch die Original Ausweis App installiert ist, m√ľsste dann nicht unter Android der Dialog aufgehen, in dem man gefragt wird, mit welcher App man die aktuelle Aktion durchf√ľhren m√∂chte?

2 Likes

Im Ergebnis betonen wir: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen.

Sollte man meinen ‚Ķ aber dann w√ľrde immernoch die richtige Entscheidung an dieser Stelle am Benutzer h√§ngen, was ja nicht gerade ideal ist.

Im Ergebnis fand eine Kontoer√∂ffnung bei einer Bank statt, die nie h√§tte stattfinden d√ľrfen. Aber laut BSI ist ja pauschal der Benutzer schuld, egal, ob der Benutzer tats√§chlich etwas dagegen unternehmen kann oder nicht, also alles gut.

1 Like

Im Moment w√ľrde ich das gerne verstehen und absch√§tzen k√∂nnen. Ob andere/alle was damit anfangen k√∂nnen, ist mir im ersten Schritt egal, weil ich die eID-Funktion schon genutzt habe und die grunds√§tzlich auch praktisch finde, d.h. auch zuk√ľnftig nutzen wollen w√ľrde.
Wenn es denn so w√§re, dass da der von mir vermutete Dialog k√§me, w√ľrde mir das schon reichen.

Vielleicht passt der Vergleich nicht, aber irgendwelche 2FA-Push-Notifications sollte man ja auch nicht blind abnicken, wenn die völlig unerwartet kommen. Das hängt letztlich auch am Benutzer.

3 Likes