Manfred Kloiber: Und wir bleiben noch ein bisschen bei den kleinen Softwarehäppchen. Und zwar bei der Ausweis-App, die dazu dienen soll, den neuen elektronischen Personalausweis am PC zu Identifizierungszwecken einsetzen zu können. Die Ausweis-App hatte einen wirklich schlechten Start. Denn kaum wird der neue elektronische Personalausweis ausgeliefert, da müssen die Programmierer ihre App auch schon wieder nachbessern. Das Bundesamt für Sicherheit in der Informationstechnik hat zwei Sicherheitslücken bestätigt, die der IT-Experte Jan Schejbal am Dienstag in seinem Blog veröffentlicht hat. Jetzt muss neu programmiert werden, welche Sicherheitslücken hat denn Jan Schejbal entdeckt, Peter Welchering?
Peter Welchering: Da sind eigentlich Sicherheitslücken der Update-Funktion dieser Ausweis-App. Und diese Sicherheitslücken sind so schwerwiegend, dass eben tatsächlich Angriffsprogramme sie ausnutzen können, um Schadsoftware auf einen PC zu schläusen. Bei der ersten Sicherheitslücke haben wir es mit einem altbekannten und von Java-Neulingen oft begangenen Programmierfehler zu tun. Die verwendeten Softwarebibliotheken prüfen nämlich nicht automatisch, ob der Name eines Servers mit dem ausgegebenen Zertifikat übereinstimmt. Und von einem ähnlichen Kaliber ist dann auch gleich die zweite Sicherheitslücke, denn da wird eine komprimierte Datei entpackt, bevor eine Signaturprüfung stattfinden kann. Ebenfalls ein ziemlich beliebter Anfängerfehler.
Kloiber: Schauen wir uns die Sicherheitslücken mal genauer an. Was passiert denn, wenn die auf dem PC installierte Ausweis-App ein Update einpflegen will?
Welchering: Dann wird zunächst zum Update-Server eine geschützte, eine sichere Verbindung aufgebaut und der Update-Server heißt in diesem Fall download.ausweisapp.bund.de – und zu genau diesem Server, also zu download.ausweisapp.bund.de, stellt der PC, auf dem die Ausweis-App installiert ist, dann eine https-geschützte Verbindung her. Das S ist dabei ganz wichtig, denn das steht für 'secure'. Und dieses Protokoll gilt dann ja auch als ausreichend sicher, da kann man eigentlich gar nicht meckern. Und die Ausweis-App prüft dann auch, ob der Update-Server ein gültiges Zertifikat hat. Denn ohne gültiges Zertifikat wird da eben nichts heruntergeladen. Das Problem besteht nun darin, dass die Entwickler der Auswei-App keine Überprüfung eingebaut haben, ob das Zertifikat auch wirklich zum Servernamen passt. Will also jemand Schadsoftware auf meinen PC schläusen, dann zeigt er der Ausweis-App einfach ein ganz beliebiges SSL-Zertifikat. SSL ist eben das Verschlüsselungsprotokoll. Und das kann etwa das SSL-Zertifikat der eigenen Webseite sein. Und da hat Jan Schejbal, wie er ausführlich auch in seinem Blog beschrieben hat, einfach die Verbindung zum Update-Server umgebogen. Das heißt, er hat die Zuordnung des Servernamens download.ausweisapp.bund.de zu eine Internetprotokoll-Adresse manipuliert. Und diesen Angriff nennt man DNS-Spoofing, das ist keine neue Angriffsmethode, die gibt es schon viele Jahre. Die AusweisApp verbindet dann den PC, auf dem sie installiert ist, mit einem falschen Update-Server, einem manipulierten Server, prüft, ob ein Zertifikat vorliegt, fragt aber eben nicht, für welchen Servernamen dieses Zertifikat denn ausgestellt wurde. Und genau an dieser Stelle kann dann der angewählte Server mit sicherer Verbindung über https die Ausweis-App anweisen, Dateien mit Schadsoftware herunterzuladen und zu installieren.
Kloiber: Aber vor der Installation der Updates gibt es doch noch eine Sicherheitsabfrage. Wie wird die umgangen?
Welchering: Die Updates werden als sogenannte MSI-Datei vom Update-Server heruntergeladen. Bevor eine solche Datei ausgeführt wird, also die Updates installiert werden, überprüft die Ausweis-App noch eine Signatur. Und das heißt für einen Angreifer, der die erste Sicherheitslücke ausgenutzt hat, also über das DNS-Spoofing die Verbindung zum Server umgebogen und einen Virus als Update-Software zum PC geschickt hat, für solch einen Angreifer wäre hier eigentlich Schluss. Aber da haben die Entwickler der Ausweis-App einen zweiten Fehler gemacht. Die Updates kommen nämlich als komprimierte Datei auf dem PC an, als als ZIP-Datei. Und in dieser ZIP-Datei sind verschiedene msi-Dateien, je nachdem, wie viele Updates heruntergeladen wurden, dann eben drin. In dieser ZIP-Datei können beispielsweise zwei oder drei oder vier unterschiedliche msi-Dateien dann eben als sehr kleine Dateien transportiert werden. Nun werden diese msi-Dateien nur ausgeführt, wenn die Signatur in Ordnung ist, also insoweit kein Problem. Aber diese msi-Dateien müssen dekomprimiert werden, also die ZIP-Datei muss entpackt werden, bevor die msi-Dateien ausgeführt werden können. Und die ZIP-Datei wird vor der Signaturprüfung entpackt. Das ist übrigens auch eine altbekannte Sicherheitslücke. Die erlaubt es dem Angreifer mit nur einem kleinen Befehl, Dateien mit Schadsoftware in das Dateisystem auf dem PC zu schreiben. Und dann ist auf PC mit der Ausweis-App statt der erwarteten Updates ein Trojaner installiert.
Kloiber: Herr Welchering, die beiden Sicherheitslücken werden ja nun geschlossen. Eine neue Version der Ausweis-App ist in Arbeit. Wann wird die ausgeliefert?
Welchering: Das Bundesamt für Sicherheit in der Informationstechnik sagt dazu nur, dass man mit der Siemens IT Solutions & Services GmbH und der OpenLimit Sign Cubes AG an einer neuen Version arbeite. Und die solle in Kürze ausgeliefert werden. Mehr ist dazu weder aus dem Bundesinnenministerium noch aus dem BSI derzeit zu hören.
Kloiber: Was bedeuten denn diese beiden Sicherheitslücken für Inhaber eines neuen Personalausweises, die auch diese Ausweis-App auf ihrem PC installiert haben?
Welchering: Das heißt zum ersten für sie, dass sie die Update-Funktion der Ausweis-App auf gar keinen Fall benutzen sollen, denn dann könnten sie sich wirklich einen Virus einfangen. Und zweitens sollten sie, sobald die neue Version der Ausweis-App vorliegt, diese Software ganz neu installieren. Also die alte Ausweis-App runterwerfen, die neue eben installieren. Denn die bekannt gewordenen Sicherheitslücken beruhen zwar einerseits auf typischen Anfängerfehlern und diese Sicherheitslücken sind seit langem bekannt, also die können wirklich ganz schnell geschlossen werden. Aber trotzdem: Solange keine neue Version verfügbar ist, die diese beiden Sicherheitslücken beseitigt hat, ist eben die Gefahr, sich über die Update-Funktion der Ausweis-App Computerviren auf den eigenen PC zu holen, sehr, sehr groß.
Peter Welchering: Da sind eigentlich Sicherheitslücken der Update-Funktion dieser Ausweis-App. Und diese Sicherheitslücken sind so schwerwiegend, dass eben tatsächlich Angriffsprogramme sie ausnutzen können, um Schadsoftware auf einen PC zu schläusen. Bei der ersten Sicherheitslücke haben wir es mit einem altbekannten und von Java-Neulingen oft begangenen Programmierfehler zu tun. Die verwendeten Softwarebibliotheken prüfen nämlich nicht automatisch, ob der Name eines Servers mit dem ausgegebenen Zertifikat übereinstimmt. Und von einem ähnlichen Kaliber ist dann auch gleich die zweite Sicherheitslücke, denn da wird eine komprimierte Datei entpackt, bevor eine Signaturprüfung stattfinden kann. Ebenfalls ein ziemlich beliebter Anfängerfehler.
Kloiber: Schauen wir uns die Sicherheitslücken mal genauer an. Was passiert denn, wenn die auf dem PC installierte Ausweis-App ein Update einpflegen will?
Welchering: Dann wird zunächst zum Update-Server eine geschützte, eine sichere Verbindung aufgebaut und der Update-Server heißt in diesem Fall download.ausweisapp.bund.de – und zu genau diesem Server, also zu download.ausweisapp.bund.de, stellt der PC, auf dem die Ausweis-App installiert ist, dann eine https-geschützte Verbindung her. Das S ist dabei ganz wichtig, denn das steht für 'secure'. Und dieses Protokoll gilt dann ja auch als ausreichend sicher, da kann man eigentlich gar nicht meckern. Und die Ausweis-App prüft dann auch, ob der Update-Server ein gültiges Zertifikat hat. Denn ohne gültiges Zertifikat wird da eben nichts heruntergeladen. Das Problem besteht nun darin, dass die Entwickler der Auswei-App keine Überprüfung eingebaut haben, ob das Zertifikat auch wirklich zum Servernamen passt. Will also jemand Schadsoftware auf meinen PC schläusen, dann zeigt er der Ausweis-App einfach ein ganz beliebiges SSL-Zertifikat. SSL ist eben das Verschlüsselungsprotokoll. Und das kann etwa das SSL-Zertifikat der eigenen Webseite sein. Und da hat Jan Schejbal, wie er ausführlich auch in seinem Blog beschrieben hat, einfach die Verbindung zum Update-Server umgebogen. Das heißt, er hat die Zuordnung des Servernamens download.ausweisapp.bund.de zu eine Internetprotokoll-Adresse manipuliert. Und diesen Angriff nennt man DNS-Spoofing, das ist keine neue Angriffsmethode, die gibt es schon viele Jahre. Die AusweisApp verbindet dann den PC, auf dem sie installiert ist, mit einem falschen Update-Server, einem manipulierten Server, prüft, ob ein Zertifikat vorliegt, fragt aber eben nicht, für welchen Servernamen dieses Zertifikat denn ausgestellt wurde. Und genau an dieser Stelle kann dann der angewählte Server mit sicherer Verbindung über https die Ausweis-App anweisen, Dateien mit Schadsoftware herunterzuladen und zu installieren.
Kloiber: Aber vor der Installation der Updates gibt es doch noch eine Sicherheitsabfrage. Wie wird die umgangen?
Welchering: Die Updates werden als sogenannte MSI-Datei vom Update-Server heruntergeladen. Bevor eine solche Datei ausgeführt wird, also die Updates installiert werden, überprüft die Ausweis-App noch eine Signatur. Und das heißt für einen Angreifer, der die erste Sicherheitslücke ausgenutzt hat, also über das DNS-Spoofing die Verbindung zum Server umgebogen und einen Virus als Update-Software zum PC geschickt hat, für solch einen Angreifer wäre hier eigentlich Schluss. Aber da haben die Entwickler der Ausweis-App einen zweiten Fehler gemacht. Die Updates kommen nämlich als komprimierte Datei auf dem PC an, als als ZIP-Datei. Und in dieser ZIP-Datei sind verschiedene msi-Dateien, je nachdem, wie viele Updates heruntergeladen wurden, dann eben drin. In dieser ZIP-Datei können beispielsweise zwei oder drei oder vier unterschiedliche msi-Dateien dann eben als sehr kleine Dateien transportiert werden. Nun werden diese msi-Dateien nur ausgeführt, wenn die Signatur in Ordnung ist, also insoweit kein Problem. Aber diese msi-Dateien müssen dekomprimiert werden, also die ZIP-Datei muss entpackt werden, bevor die msi-Dateien ausgeführt werden können. Und die ZIP-Datei wird vor der Signaturprüfung entpackt. Das ist übrigens auch eine altbekannte Sicherheitslücke. Die erlaubt es dem Angreifer mit nur einem kleinen Befehl, Dateien mit Schadsoftware in das Dateisystem auf dem PC zu schreiben. Und dann ist auf PC mit der Ausweis-App statt der erwarteten Updates ein Trojaner installiert.
Kloiber: Herr Welchering, die beiden Sicherheitslücken werden ja nun geschlossen. Eine neue Version der Ausweis-App ist in Arbeit. Wann wird die ausgeliefert?
Welchering: Das Bundesamt für Sicherheit in der Informationstechnik sagt dazu nur, dass man mit der Siemens IT Solutions & Services GmbH und der OpenLimit Sign Cubes AG an einer neuen Version arbeite. Und die solle in Kürze ausgeliefert werden. Mehr ist dazu weder aus dem Bundesinnenministerium noch aus dem BSI derzeit zu hören.
Kloiber: Was bedeuten denn diese beiden Sicherheitslücken für Inhaber eines neuen Personalausweises, die auch diese Ausweis-App auf ihrem PC installiert haben?
Welchering: Das heißt zum ersten für sie, dass sie die Update-Funktion der Ausweis-App auf gar keinen Fall benutzen sollen, denn dann könnten sie sich wirklich einen Virus einfangen. Und zweitens sollten sie, sobald die neue Version der Ausweis-App vorliegt, diese Software ganz neu installieren. Also die alte Ausweis-App runterwerfen, die neue eben installieren. Denn die bekannt gewordenen Sicherheitslücken beruhen zwar einerseits auf typischen Anfängerfehlern und diese Sicherheitslücken sind seit langem bekannt, also die können wirklich ganz schnell geschlossen werden. Aber trotzdem: Solange keine neue Version verfügbar ist, die diese beiden Sicherheitslücken beseitigt hat, ist eben die Gefahr, sich über die Update-Funktion der Ausweis-App Computerviren auf den eigenen PC zu holen, sehr, sehr groß.