Angreifer könnten sich mit dem neuen deutschen Personalausweis gegenüber Webanwendungen mit vergleichsweise wenig Aufwand erfolgreich mit falschem Namen ausweisen. Das klappt aufgrund einer Schwachstelle im Governikus Autent SDK, auf das Onlinedienste bei der Authentifizierung mittels Personalausweis setzen. In einem Blog-Beitrag zeigen Sicherheitsforscher von SEC-Consult die Attacke auf.

Damit man sich im Web ausweisen kann, verfügt der Personalausweis über einen RFID-Chip. Im Zusammenspiel mit einer Client-Software, beispielsweise AusweisApp 2, und einem passenden Kartenleser kann eine Webanwendung die Identität verifizieren. Diese Log-in-Variante bietet etwa das Steuerportal Elster.

Die Legitimation läuft über einen vertrauenswürdigen Server. Ist die Identität bestätigt, teilt die Client-Software der Webanwendung das Ergebnis mit. Damit Angreifer Anfragen nicht manipulieren können, signiert der Server diese.

Der Identitätsdiebstahl

Nun kommt die Schwachstelle im Governikus Autent SDK auf der Seite der Webanwendung ins Spiel. Dabei könnte ein Angreifer neben einer korrekt signierten in einer URL verpackten Anfrage noch eine manipulierte mitschicken. Aufgrund der Schwachstelle nickt das SDK die signierte Anfrage korrekterweise ab, verarbeitet aber die manipulierte Anfrage ohne weitere Prüfung.

So könnte sich ein Angreifer bei einem Online-Dienst authentifizieren, damit er über eine signierte Anfrage verfügt, und letztlich eine Aktion im Namen einer anderen Person ausführen. Technische Details zu manipulierten Anfragen führen die Sicherheitsforscher in ihrem Beitrag aus.

Schwachstelle geschlossen

Davon sind alle Webanwendungen bedroht, die das SDK bis einschließlich Version 3.8.1 einsetzen. Die Ausgabe 3.8.1.2 ist abgesichert. SEC Consult gibt an, dass sie die Schwachstelle im Juli 2018 dem Notfall-Team CERT Bund des Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet haben. Zu diesem Zeitpunkt hat das CERT Bund den Sicherheitsforschern zufolge betroffene Anbieter kontaktiert.

Web-Admins, die die abgesicherte Version des SDKs noch nicht installiert habe, sollten dies zügig tun. Außerdem sollten Betreiber von Webanwendungen mit Authentifizierungsfunktion über den Personalausweis ihre Log-Dateien prüfen, da Übergriffe dieser Art dort Spuren hinterlassen. (des)