Donnerstag, 25. Januar 2018

beA: Quellen-TKÜ leicht gemacht !

In den vergangenen Wochen wurde viel über gravierende Sichersicherheitslücken im beA - insbesondere des "ClientSecurity" diskutiert. Eine ganz grundlegende - konzeptionelle - Schwachstelle wurde leider nur unzureichend beleuchtet: der Webserver selbst !

Server sendet die Client-Software


Bei (komplexeren) Web-Anwendungen, wird Javascript-Code, welcher im Browser ausgeführt wird, vom Webserver gesendet. Dieser wird zwar in einer Sandbox ausgeführt, um keinen Zugriff auf den PC zu erlangen, aber der Server bestimmt, welcher Code in der jeweiligen Seite (innerhalb des Browsers) ausgeführt wird. Dieser Code hat zwangsläufig Zugriff auf alle Inhalte innerhalb der Seite - das ist schließlich die Idee dahinter.

Somit wird also der gesamte Javascript-Code des beA Web-Client jedesmal aufs Neue vom Server gessendet. Dieser Code verbindet sich uA. zum "ClientSecurity", um dieses zB. Nachrichtenschlüssel mittels Karte ver-/entschlüsseln, aber auch Fingerabdrücke von zu unterschreibenden Dokumente zu signieren.

Kurz: sobald eine entschlüsselte Nachricht dem Nutzer angezeigt wird, hat dieser Javascript-Code sie bereits - entschlüsselt - verarbeitet.

Quellen-TKÜ leicht gemacht !


Wer immer den beA-Webserver kontrolliert, kann hier beliebig weiteren / anderen Javascript-Code einschleusen. Dieser kann demnach bereits entschlüsselte bzw. noch unverschlüsselte Nachrichten jederzeit abgreifen, manipulieren und ausleiten. Ebenso kann er auch beim Signieren gefälschte Dokumente unterschieben.

Im Gegensatz zu einer präparierten lokalen Client-Software kann dieser Angriff auch leicht sehr selektiv und kurzzeitig geschehen, sodaß die Chance auf Entdeckung extem gering ist.

Dieses Problem ist jeglichen Web-Lösungen inherent !


Keine Kommentare:

Kommentar veröffentlichen