Nieuwe Duitse id-kaart kampt met beveiligingsproblemen

De AusweisApp, een applicatie waarmee Duitsers onder andere zelf de software van hun nieuwe id-kaart kunnen updaten, is niet veilig. Dit komt door een fout in het programmeerwerk, waardoor de ssl-certificatie niet goed wordt gecontroleerd. De applicatie maakt via https verbinding met de updateserver. De client kijkt of het ssl-certificaat geldig is en zou daarna moeten kijken of het certificaat overeenkomt met de servernaam.

Dit laatste gebeurt echter niet. "Ieder geldig ssl-certificaat is voldoende", schrijft Jan Schejbal, hacker en lid van de Duitse Piratenpartei, die de fout dinsdag ontdekte.

De nieuwe Duitse id-kaart is sinds het begin van deze maand voor de oosterburen beschikbaar. Behalve met biometrische kenmerken, zoals vingerafdrukken, kunnen burgers met een afleesapparaat en een pincode gebruikmaken van onlinediensten van de overheid. Ook kan de burger met bepaalde gegevens van zijn id-kaart aankopen doen bij webwinkels. Volgens het Duitse ministerie van binnenlandse zaken is het op deze manier veiliger voor burgers om online zaken te regelen.

Lees alles bij de bron; tweakers