Willkommen beim Chaostreff Winterthur!
Programm zum Loggen der Bildschirmtastatur der AusweisApp veröffentlicht
Die AusweisApp installiert Software mit listenweise Exploits auf dem PC des Benutzers
Schon mehrfach waren der deutsche ePerso und die AusweisApp in den Medien – leider meist negativ. Trotz der Hinweise unterschiedlicher Sicherheitsexperten, unter anderem des Chaos Computer Clubs, hat der Hersteller nicht dazugelernt.
Immer noch sind die allermeisten Lesegeräte, die im Umlauf sind, sogenannte Basislesegeräte ohne eigene Tastatur. Und so bleibt der PC die Angriffsfläche. Trotz mehrfacher Warnungen des CCC, dass die in der AusweisApp verfügbare Bildschirmtastatur keinen wirksamen Schutz bietet, behaupten die Betreiber – und schlimmer noch, das BMI – nach wie vor, diese Massnahme würde das Mitlesen einer PIN durch Schadsoftware verhindern.
Dass das nicht der Fall ist, beweist das Chaostreff Winterthur nun mit einem kleinen Programm für Windows, das in der Lage ist, neben den Tastendrücken auch die Bildschirmtastatur mitzulesen (siehe auch die Erläuterungen im Blog):
Quellcode (Lizenz: GNU GPL 2.0)
Analysesoftware (Labview-Screenshots)
Das Programm ist ein einfacher Keylogger, der mit Hooks arbytet.
Zusätzlich zum Aufzeichnen von Tastendrücken wartet es auf das
Erscheinen der Bildschirmtastatur. Wird die bemerkt, so erstellt das
Programm intern einen Screenshot – und schaut, welche Zahl auf welchem
Feld ist. Mausklicks werden dann automatisch in die jeweils gedrückte
Ziffer übersetzt. Die Ergebnisse sieht man in
%TEMP%\clicky.log
Falls Ihr keinen ePerso habt, könnt Ihr mit diesem Java-Testprogramm eine PIN-Eingabe simulieren.
Muss man dazu nicht bereits in den PC eingebrochen sein?
Ja, muss man. Man muss in der Lage sein, auf dem PC einen Keylogger auszuführen.
Wieso ist das dann ein grosses Problem?
Weil eine Riesenzahl PCs bereits aufgemacht sind, und Mitglied in einem Botnetz.
Der Angreifer ist also oft gar kein Mensch?
Genau. Es handelt sich vielmehr um massenhafte automatisierte Angriffe. Und die AusweisApp tut nichts dazu, diese auch nur wesentlich zu erschweren.
Was gibt's denn da für Möglichkeiten?
Nun, wie beim Internetbanking: man fordert auf einem zweiten Kanal (z.B. per SMS) eine zusätzliche Bestätigung an.
Ist das dann sicher?
Nein. Aber es erschwert die automatisierten Angriffe wesentlich. Man muss dann auch noch zusätzlich ein Smartphone-Botnet haben (das gibt es bereits).
Klingt irgendwie auch nicht besonders sicher?!
Stimmt. Basislesegeräte sind einfach eine Zumutung. PC und Smartphone sind keine sicheren Terminals, und werden vermutlich nie welche sein.
Eine kleine Folientastatur in den Leser kostet dagegen so wenig Geld, dass völlig unverständlich bleibt, weshalb das die Hersteller nicht einbauen.
Bereits die mitgelieferte veraltete Java-Version (Java Platform SE 7U9) enthält eine Menge Exploits.
Zwar wird Java nicht im System installiert, aber man fragt sich schon, weshalb ausgerechnet eine sicherheitskritische Software wie die AusweisApp veraltete Komponenten mit bekannten Sicherheitslücken installiert.
Insgesamt hinterlässt die AusweisApp einen extrem unprofessionellen Eindruck. Es ist nicht nur nicht auszuschliessen, dass sie eigene Sicherheitsprobleme auf den PC bringt, auf den sie installiert wird, sondern durch die wesentliche Erleichterung automatisierter Angriffe wirkt sie bereits in ihren Kernfunktionen aus Sicherheitssicht kontraproduktiv.