Die österreichische Bürgerkarte, die ähnliche Signierfunktionen wie hierzulande der nPerso hat, ist erneut angreifbar: Ein Angreifer kann die Java-basierte Online-Version der Bürgerkartenumgebung (BKU) missbrauchen, um etwa Banktransaktionen zu autorisieren oder PDF-Dokumente mit der qualifizierten Signatur des Opfers (gleichbedeutend mit einer Unterschrift auf Papier) zu unterzeichnen. Dies hat der Sicherheitsexperte Wolfgang Ettlinger herausgefunden.
Zunächst muss der Angreifer eine Website aufsetzen, welche die Bürgerkarte etwa zur Altersverifikation nutzt. Wenn nun ein potentielles Opfer den Dienst besucht und mit eingelegter Karte seine PIN in das BKU-Applet eingibt, kann der Angreifer die PIN auslesen und speichern. Während das Opfer weiter auf der Site surft, bettet der Angreifer das Applet erneut ein; dieses Mal allerdings unsichtbar. Diese Instanz des Applets kann er nun komplett fernsteuern – vom Anklicken der Buttons bis hin zur Eingabe der zuvor abgegriffenen PIN. Damit kann er nun beliebige Daten im Namen des Opfers signieren. Zur Demonstration hat Ettlinger ein Video ins Netz gestellt.
Das Auslesen der PIN und das Fernsteuern funktionieren nach Angaben des Experten über die Java LiveConnect-API, die den Zugriff auf Java-Methoden über JavaScript erlaubt. Während der direkte Zugriff auf die Karten in einem besonders privilegierten Kontext läuft und dadurch nicht über JavaScript erreichbar ist, wird die Bedienoberfläche nicht auf diese Weise geschützt. Inzwischen wurde diese Schwachstelle im BKU-Applet zwar behoben, allerdings sind die verwundbaren Versionen nach Angaben des Sicherheitsexperten nach wie vor funktionsfähig.
Auch beim nPerso gab es schon Schwachstellen beim Zusammenspiel zwischen Kartenlesen und Browser-Plugin: Unter anderem gelang es einem Mitglied der Piratenpartei, die AusweisApp in JavaScript nachzubauen, um die PIN des Opfers abzugreifen. Anschließend nutzte er die PIN, um über ein Browser-Plugin einen Kanal zur Chipkarte zur öffnen. (rei)
0 Kommentare:
Kommentar veröffentlichen