Ein anonymer Hacker mit dem Pseudonym "CtrlAlt" hat die Sicherheitslücke entdeckt, die es ermöglicht, fremde Identitäten zu übernehmen.  Für den Identitätsdiebstahl ist lediglich der Zugriff auf das Smartphone des Opfers erforderlich. Eine solche Zugangsmöglichkeit könnte durch eine manipulierte App geschaffen werden, die dann den PIN-Code der amtlichen Ausweis-App abfängt und an den Angreifer sendet. Der Hacker "CtrlAlt" demonstrierte, wie eine bösartige App den Deeplink zur AusweisApp umleiten kann, ohne dass dies für den Nutzer erkennbar ist.

Das BSI hat die Sicherheitslücke bestätigt, sieht sich aber nicht in der Verantwortung.

Der Hacker teilte seine Erkenntnisse dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mit. Das BSI erkennt die technische Korrektheit der Darstellung an, sieht aber keinen Handlungsbedarf, da die Schwachstelle nicht direkt in der Soft- oder Hardware zu finden sei. Stattdessen verweist die Behörde auf die Eigenverantwortung der Nutzer für die Absicherung ihrer Geräte, eine Haltung, die der Hacker als unverantwortlich kritisiert. Er betont, dass die von ihm dokumentierten Angriffsszenarien durch die Vorschläge des BSI nur teilweise abgewehrt werden könnten. Als mögliche Sofortmaßnahme schlägt der Hacker die Veröffentlichung einer offiziellen Liste sicherer Apps mit eID-Funktion vor, um betrügerische Software leichter identifizieren zu können.

Das BSI sieht nach wie vor keine Änderung der Risikoeinschätzung bei der Nutzung der Online-Ausweisfunktion. Sie wissen also, dass das System angreifbar ist und sehen keinen Handlungsbedarf.

Halten wir fest: Der Bund verlangt die Ausweise und gibt sie aus. Er erzwingt die Abgabe von Persönlichkeitsmerkmalen an externe Stellen (den Ausweis, die App). Damit ist der Bund unmittelbar und allein für die Sicherheit verantwortlich. Vom Bürger kann nur die übliche Sorgfalt und die Einhaltung von Sicherheitsvorschriften verlangt werden, die auch für Minderbegabte umsetzbar sein müssen. Fazit: Sie haben kapituliert.

Wie der Angriff funktioniert

Der Angriff basiert auf der Tatsache, dass jede App URI-Schemas auf dem Gerät registrieren kann, mit denen sie aufgerufen werden kann - mehrere Apps können das gleiche Schema registrieren, das letzte gewinnt. Und genau das macht sich der Angriff zunutze, indem er sich für das Schema "eid://" registriert - genau wie die Ausweis-App. Das Problem ist bei Apple seit Jahren bekannt und es wird von der Verwendung abgeraten, stattdessen sollten Universal Links verwendet werden, die eine sichere Verbindung über das https-Schema bieten. Android verfügt über eine ähnliche Technik. Das bedeutet, dass eine Schwachstelle im Betriebssystem ausgenutzt wird, die Argumentation des BSI geht somit ins Leere, da ihre App in einer unsicheren Umgebung bereitgestellt wird.