Ich hatte neulich beim Frühstück mit Kollegen eine angeregte Diskussion darüber, ob und warum der „Hack“ der AusweisApp-Anwendung bedenklich ist. Man braucht im Prinzip ja außer einem verseuchten DNS nicht wirklich etwas besonderes.
Aber: Wenn der Besitzer eines nPA ja zwingend seinen Rechner sauberhält, bedeutet das ja noch lange nicht, dass sein Router ebenso geschützt ist. Und ganz ehrlich: wer kennt sich denn mit dem Ding an der Wand besonders aus? Die meisten hängen es auf, geben den Zugangscode von $Provider ein und schreiben den WLAN-Code vom Gerät ab. Das bedeutet: sie ändern das Default-Passwort nicht, sie ändern den WLAN-Namen nicht, eigentlich nichts.
Das dieses Gerät aber im besten Fall ihr Schutz nach außen ist, und im dümmsten Fall ein fettes Sicherheitsrisiko, darüber macht sich kaum einer Gedanken.
Da der Router bei $Anwender auch gleichzeitig die DNS-Auflösung übernimmt, ist das natürlich ein geeignetes Angriffsobjekt. Und sobald man den Updatemechanismus benutzt hat um z.B. die lokale hosts-Datei mittels relativen Pfaden beim entpacken zu überschreiben…
Und dann greift ein Update-Mechanismus so einer Bundes-App (*pfffrt*) ungesichert und ungeprüft auf ein System zurück, bei dem die Regierung selbst massiv versucht, genau dieses anzugreifen und auszuhebeln. Erst baut man einen SOP ein und dann ist der User selbst dran schuld, obwohl sein Rechner sicher ist/war?
Mündiger Bürger schön und gut. Aber das ist etwas viel Zumutung, oder?
Das Zeichen, das damit gesendet wurde ist einfach unübersehbar schlecht. Die AusweisApp ist nun beinahe 2 Monate down – wegen einer Lücke, die innerhalb von 24h gefunden wurde. Glück war, dass die Lücke nicht von einem Schalk mit bösem im Sinn gefunden wurde.