Irgendwie hat es ja jeder geahnt, aber wahrhaben wollten es die wenigsten: Bereits kürzeste Zeit nach Einführung des neuen Personalausweises und der damit verbundenen AusweisApp zur Nutzung der elektronischen Funktionen wie eID, zeigen sich erste Schwachstellen, die nicht unbedingt auf unsachgemäßes Verhalten des Nutzers zurückzuführen wären.
Wie funktionierts'?
Die AusweisApp aktualisiert sich durch regelmäßige Updates über eine gesicherte HTTPS Verbindung. Der angesprochene Server muss ein gültiges SSL Zertifikat vorweisen, welches geprüft wird und erst dann kommt der Download zustande.
Greift man nun einen Punkt auf der Route zum ordentlichen Updateserver an und manipuliert die DNS-Tabelle (das ist im wesentlichen die Tabelle, in der steht, welche IP zu welcher Domain gehört), dann landet die Update-Anfrage beim "bösen Server" und lädt eine ebenfalls manipulierte Update-Datei runter. Die wird zwar nicht direkt installiert, der anfragende Client muss sie aber zumindest auspacken, wobei bereits Schadsoftware eingeschleust werden kann.
Warum funktioniert's?
Ganz einfach, da die Anfrage der AusweisApp nur ein "simples" SSL-Zertifikat verlangt, und seine Gültigkeit prüft. Nicht(!) geprüft wird dagegen, ob es sich bei dem erreichten Server um einen bestimmten Server handelt.
So ein SSL-Zertifikat kann sich fast jeder besorgen und wenn die AusweisApp dann prüft, ob das Zertifikat gültig ist, wird es feststellen "ja, gehört zum Server, bei dem ich gelandet bin" und beginnt den Download.
Das ist nur die erste Lücke in kurzer Zeit, man täte also ggf. gut daran, seinen Ausweis nach Erhalt noch eine Weile heimischen vom Lesegerät fernzuhalten.
Quellen:
http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/