Sicherheitslücke des Tages: Mit einem zugegebenermaßen etwas aufwändigen, aber durchführbaren Verfahren (inklusive einer Phishing-Site) den auf einem beliebigen Lesegerät liegenden elektronischen Personalausweis eines anderen Menschen im Internet verwenden. Gut, dass dieses eh kaum benutzbare Stück Bundestechnikschrott kaum im Einsatz ist; der Missbrauch einer fremden Identität wäre darüber leicht möglich, und die organisierte Internet-Kriminalität wird schon »Anwendungen« dafür finden.
Schlagwort ePerso RSS
-
Nachtwächter
-
Nachtwächter
Was der ePerso nicht ist? Benutzbar ist er nicht.
-
Nachtwächter
Und noch so ein Fail mit dem so genannten »ePerso«: Da hat wohl keiner dran gedacht, dass auch Insassen einer JVA so eine Karte brauchen und dass es Sicherheitsprobleme bereitet, wenn man die Leute dafür durch die Gegend transportieren muss.
-
Nachtwächter
Fail des Tages: Die fette Bloatware für diese Personenausweiskarte funktioniert nicht mit einem aktuellen Firefox 4. Na, hoffentlich wird es zu schnellen Anpassungen an neue Versionen kommen, wenn die alten Browserversionen mal schwere, ausbeutbare Sicherheitslöcher haben…
-
Nachtwächter
Das könnte man doch über jedes staatliche Großprojekt der letzten zehn bis zwanzig Jahre schreiben: Es ist teuer und nutzlos…
-
Nachtwächter
Sacht mal, ihr da bei Heise, ist noch alles knusper bei euch?
Aha, ich verstehe. Der so genannte »ePerso« ist also unsicher, weil er auf den »verseuchten PC« angewiesen ist, wo es so böse Keylogger und allerlei Malware gibt. Und wenn er mit dem Händi zusammenarbeitet, gibt es das Problem nicht, weil so ein »Smartphone« ja kein bisschen anfällig ist? So meint jedenfalls euer Teaser-Schreiberling, und das reizt schön oben auf eurer Startseite das Zwerchfell. Es gibt ja überhaupt keine Malware auf diesen Händis, bei denen man nur noch peripher ans Telefonieren denkt, nicht? Ich finde gerade den Link nicht wieder, aber vor noch gar nicht so langer Zeit habe ich von einem ganzen Botnetz aus Händis gelesen. Es ist auch völlig undenkbar, dass es gezielte Malware-Programmierungen für Händis geben wird, um an die für Kriminelle sehr lukrative Möglichkeit zu kommen, mit der Identität eines anderen Menschen Geschäfte machen zu können, nicht? Nee, das werden die viel zu schwierig finden, da denken die gar nicht mal drüber nach. Weil so ein Händi ja so unglaublich viel sicherer als jeder PC ist. Der dann auch gleich mal als »verseucht« deklariert wird, platt und pauschal – zugegeben, für einen gewissen und viel zu großen Teil der Windows-Installationen stimmts ja auch, und diese Bloatware namens AusweisApp (guter Kandidat für einen maximal bescheuerten denglischen Mischmasch-Namen) läuft zurzeit gar nicht auf anderen, von ihrer Architektur her weniger anfälligen PC-Betriebssystemen. Einmal ganz abgesehen von den billigen Kartenlesern, die so massenhaft unters Volk gebracht wurden und die gleich mit der ausbeutbaren Designschwäche daher kommen, kein PIN-Pädd zu haben, so dass die über die PC-Tastatur eingegebene PIN schon mit ganz normalen Trojanern mitgelesen werden kann. Und dieser Seuche des PC steht das blütenreine Händi gegenüber, vollends sicher.
Ich weiß ja nicht, ob euer Teaser-Schreiberling gerade einen kleinen Hirnausfall hatte, oder ob der gewohnheitsmäßig jede Presseerklärung unkritisch abtippt. Von der normalen Drecksjournaille erwarte ich ja schon gar nichts anderes mehr, aber dass Heise bei einem fachlichen Thema so ins Klo greift, das überrascht mich denn doch.
-
Nachtwächter
Was machen wir denn mal mit diesem tollen neuen Personalienausweis? Versuchen wir doch mal, darüber die Nutzer dieser VZ-
Datenschleudern… ähm… VZ-Seiten zu identifizieren. So ein erstelltes Userprofil, das man vermarktet, wird ja eher noch ein bisschen wertvoller, wenn die Daten dabei verifiziert und echt sind. -
Nachtwächter
Das ging ja schnell mit dem ersten ausbeutbaren Sicherheitsloch in der »AusweisApp« (was ein Name, übrigens). Mit dem automatischen Update kann man den Leuten beliebige Dateien unterjubeln.