|
Zwangs-Online-Funktion ist kein Sicherheits-FeatureDiese Meldung überrascht uns nicht, hat doch der Chaos Computer Club schon vor vielen Jahren gezeigt, dass man RFID Chips aus der Umgebung auslesen kann und dass man biometrische Fingerabdrücke oder Iris-Scans auch aus hoch auflösenden Fotos bekommen kann. Heute geht es um die angeblich hochsichere Online-Funktion auf dem E-Perso. Diese konnte man bis zum Frühjahr 2017 bei Bedarf auf dem Ausweis aktivieren lassen. Seitdem gilt ein Gesetz, welches diese Funktion zwangsweise aktiviert und man muss sich selbst bemühen die Funktion wieder abschalten zu lassen, wenn man sie nicht braucht oder ihr misstraut. Welche Schwierigkeiten bei diesem Prozess in den zuständigen Ämtern auftreten können, haben wir hier beschrieben (Die Odyssee des biometrischen Abbilds). Nun zu dem neuen Skandal: Das Ausweisdokument mit Online-Funktion ermöglicht es, sich bei verschiedene staatlichen aber auch privaten Organisationen auszuweisen. Sicherheitsforschern von SEC-Consult ist es gelungen sich online als beliebige Person auszuweisen, in der Demonstration als Johann Wolfgang von Goethe. Dabei nutzen sie eine Sicherheitslücke in der Software 'Governikus Autent SDK'. Sie konnten so falsche Namen verwenden, ohne dass dabei die digitale Signatur verändert werden musste. SEC-Consult hat bereits im Juli das Problem an den Bund gemeldet. In der nun verfügbaren Version von Governikus-Autent-SDK soll diese Sicherheitslücke nicht mehr bestehen. Glücklicherweise haben von den 48 Millionen neuen Ausweisbesitzern seit 2010 nur etwa 4 Millionen die Online Funktion aktivieren lassen. Auch wegen der geringen Akzeptanz wurde sie 2017 zur Zwangsmaßnahme. Nun müssen nur noch diese 4 Millionen ihre Software aktualisieren. ;-) Mehr dazu bei https://www.bluebit.de/news/sicherheitsforscher-hacken-online-funktionen-des-personalausweises-31410981 Kommentar: RE: 20181201 Online-Funktionen des Personalausweises gehackt Ist sicher haben se' uns gesagt... In., 01.12.2018 12:48 Kategorie[32]: Datenverluste Short-Link dieser Seite: a-fsa.de/d/2YW Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/6709-20181201-online-funktionen-des-personalausweises-gehackt.html Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6709-20181201-online-funktionen-des-personalausweises-gehackt.html Tags: #ElektronischerPersonalausweis #Hack #Zwangsdigitalisierung #Scoring #Trojaner #Datenpannen #Datenskandale #ePerso #Datensicherheit #Online-Funktion #Verluste Erstellt: 2018-12-01 09:51:45 Aufrufe: 1328 Kommentar abgeben |
CC Lizenz Mitglied im European Civil Liberties Network Bundesfreiwilligendienst Wir speichern nicht World Beyond War Tor nutzen HTTPS nutzen Kein Java Transparenz in der Zivilgesellschaft |