ePerso research
13.11.2010
Das BSI hatte am 9.11. die erste Version der Ausweisapp
online
gestellt. Jedoch wurde bereits in der darauffolgenden Nacht eine
Sicherheitslücke
im automatischen Updatesystem der Software gefunden. Angreifer
können mittels DNS-Spoofings die download adresse
fälschen.
Statt auf download.ausweisapp.bund.de wird das
Opfer
auf eine Adresse des Angreifers weitergeleitet, so ist es einfach
möglich dem Opfer eine manipulierte Version der Ausweisapp
unterzuschieben.
Hier gibt es die 1.Version noch zum download:
Ausweisapp 1.0 - Windows
http://www.megaupload.com/?d=KLWUT3SD
http://www.mediafire.com/?3z9dvqaf9a337bp
Ausweisapp 1.0 - Ubuntu Linux
http://www.megaupload.com/?d=QYNP7G2N
http://www.mediafire.com/?mcq86182b68mwk5
Ausweisapp 1.0 - Debian Linux
http://www.megaupload.com/?d=RDXEZQ64
http://www.mediafire.com/?bb4um4ub7y4q78v
15.11.2010
Das Skript zum Analysieren der Kommunikation zwischen Perso und App ist
fertig.
17.11.2010
Heute kamen meine SCM Basislesegeräte.
Natürlich habe ich sie gleich ausprobiert. Unter Linux muss
man nebem dem pcsc-lite Paket noch eigene Treiber installieren um das
Lesegerät verwenden zu können.
Aber danach kann mand die Geräte im vollen Umfang mit der pcsc
library benutzen. Natürlich habe ich die Hardware der Leser
auch gleich mal unter die Lupe genommen. Gleich beim öffnen
ist mir neben dem
USB-Kabel die Pin Makierungen für eine Serielle Schnittstelle
aufgefallen. Die eigentlichen Pins sind jedoch etwas weiter rechts auf
der Platine neben dem Hauptchip. Mein Interesse war geweckt. Sah ja
schonmal
vielversprechend aus. Jedoch zeigte sich schnell das die Pins
funktionslos waren. :( Lediglich an dem Sigout Pin kamen Daten an. Bei
nicht aufgelegter Karte waren Nullen in regelmäßigen
Abständen zu empfangen.
Bei dem auflegen einer Karte kamen hier tatsächlich Daten an, jedoch war es mir nicht möglich diese zu decodieren.
Der STC3 von SCM scheint ein echtes Wunderkind zu sein, wenn man sich einmal sein Datenblatt
ansieht staunt man nicht schlecht. Er hat die Möglichkeit einen
Fingerabdruckleser, eine Tastaur und einen externen Display
anzuschließen.
Vielleicht kann man sich so seinen eigenen Änderungsterminal oder
wie diese Stationen heißen die bald in jedem Gemeindehaus stehen
sollen? Ich werde mich veilleicht bei Gelegenheit mal mit der
deaktivierten RS232 Schnittstelle beschäftigen,
aber vieleicht schafft es schon bald jemand sie zu aktivieren.