E-Pass-Lesesoftware verwundbar

Die E-Pass-Lesesoftware läßt sich zum Absturz bringen, wenn man ihr geeignete Daten füttert - so berichtet Wired über den neuesten Beitrag von Lukas Grunwald zum Thema Sicherheit der RFID-Ausweise. Durch Manipulation der Bilddaten konnte die Lesesoftware zweier Hersteller reprodzierbar zum Absturz gebracht werden - daraus einen Exploit zu schnitzen, der Code ins Lesegerät einschleust, dürfte mit großer Wahrscheinlichkeit möglich sein.
Hat man das erst einmal geschafft, kann man vermutlich alles mögliche mit dem Lesegerät anstellen: Ungültige oder gefälschte Pässe akzeptieren, Passdaten sammeln (z.B. um sie später - analog zu den geklonten Pässen - wieder auf einen RFID-Chip zu bannen: Das nenne ich mal Identitätsdiebstahl ;-), ... Hat der Leser auch Zugriff auf die (durch die Extended Authentication geschützten) Fingerabdrücke, kann der Angreifer natürlich auch diese sammeln.

Womit wieder einmal gezeigt ist: Selbst wenn ein System in der Theorie sicher konzipiert ist, kann eine schlampige Implementierung immer noch alles verbocken.

(via BoingBoing)

comments powered by Disqus