Nove nemške osebne izkaznice s čipi ranljive

V Nemčiji so 1. novembra začeli uporabljati nove pametne osebne izkaznice, starih pa ni mogoče več dobiti. Nove e-osebne izkaznice se od starih razlikujejo po vgrajenem RFID-čipu, ki ima v elektronski obliki zapisane podatke imenu, naslovu, rojstnem datumu, višini, barvi oči in las, izdajatelju in sliko. Prednost novih izkaznic je širši obseg uporabe, saj se bo moč z njimi identificirati tudi pri elektronskih bančnih transakcijah, pri preprečevanju ribarjenja in podobno.

Ob predstavitvi so odgovorni dejali, da imajo izkaznice šifriranje z eliptično krivuljo, tako da naj bi jih bilo praktično nemogoče zlomiti. Hekerji so že pokazali, da obvozi temu navzlic obstojijo.

Septembra so demonstrirali relativno preprost sistem, kako pretentati sistem. Uporaba izkaznice za spletno identifikacijo terja uporabo zunanjega bralnika, kar je nemški Chaos Computer Club že zaobšel. Na računalnik so namestili beležnik pritiskov na tipke (angl. keylogger), s tem odtujili PIN in s tem informacijami prepisali podatke na izkaznici. Manuel Bach iz Zveznega urada za varnost in informacijsko tehnologijo (BSI) je očitke zavrnil z besedami, da so okuženi računalniki tako ali tako že kompromitirani, tako da ne gre za pomanjkljivost sistema. Tehnično res ne, a iluzorno je pričakovati, da bodo imeli vsi uporabniki očiščene računalnike.

Le teden dni po izidu kartic pa so predstavili novo pomanjkljivost. BSI je izdal aplikacijo AusweisApp, v kateri je Jan Schejbal iz Piratske stranke Nemčije že odkril resno ranljivost (exploit). Napad ne meri neposredno na izkaznico, ampak jo izkoristi kot prehod na računalnik, kjer se nato more izvesti zlobna koda. AusweisApp se namreč povezuje prek varne povezave (SSL) s strežnikom s posodobitvami. Prva težava je, da preveri le veljavnost certifikata, ne pa tudi njegovega imena, kar daje možnost DNS-manipulaciji oz. preusmeritvi z download.ausweisapp.bund.de na poljuben strežnik z veljavnim SSL-certifikatom. Tako lahko z ustreznim odgovorom aplikacijo pretenta v odprtje poljubnega arhiva, saj se to izvrši pred preverjanjem podpisa.

BSI se je že odzval in začasno onemogočil prenos aplikacije AusweisApp, dokler je ne zakrpajo.