Der Software zum neuen Personalausweis ist kein guter Start beschieden: Am gestrigen Montagabend wurde die AusweisApp freigegeben; am heutigen Dienstagmorgen veröffentlichte Jan Schejbal von der Piratenpartei Deutschland in seinem Blog bereits einen Exploit, der zwei Designfehler der Update-Routine nutzt. Dadurch wird zwar nicht der Personalausweis angegriffen, aber es lässt sich Software auf dem PC einschleusen, auf dem die AusweisApp läuft.
Die AusweisApp baut zunächst eine SSL-Verbindung zu dem Server auf, der die Updates liefert. Dabei begeht sie den ersten Fehler: Sie überprüft zwar, ob das Zertifikat gültig ist, aber nicht, ob es auch auf den Namen des regulären Update-Servers ausgestellt ist. Gelingt es also durch eine DNS-Manipulation, Zugriffe auf www.ausweisapp.bund.de und download.ausweisapp.bund.de zu einem beliebigen Server mit gültigem SSL-Zertifikat umzulenken, versucht die AusweisApp ihre Updates von dort zu laden.
Der Server des Angreifers kann nun die Update-Funktion mit einer manipulierten Antwort dazu bringen, ein beliebiges ZIP-Archiv herunterzuladen und zu entpacken. Eine darin enthaltene Installationsdatei wird allerdings nur ausgeführt, wenn sie eine korrekte Signatur besitzt. Doch schon das Entpacken des Archivs stellt ein Sicherheitsrisiko dar, da dabei über relative Pfade unerwünschte Dateien auf dem PC des Ausweisinhabers platziert werden können.