Forscher der Universität Luxemburg haben einen Fehler im Sicherheitsstandard entdeckt, der seit 2004 weltweit bei elektronischen Pässen (ePassports) verwendet wird. Der Standard ICAO 9303 ermöglicht e-Pass-Readern an Flughäfen das Scannen von Reisepässen und die Identifizierung der Inhaber.
Die meisten Reisepässe verwenden heute den Standard ICAO 9303, der von der Internationalen Zivilluftfahrtorganisation (International Civil Aviation Organization, ICAO) herausgegeben wurde. Der Standard sollte die Nichtverkettbarkeit und den Schutz der Daten des Passinhabers in höchstem Maße gewährleisten. Nichtverkettbarkeit garantiert, dass ein Angreifer nicht unterscheiden kann ob zwei Elemente eng miteinander verbunden sind
Dr. Ross Horne, Prof. Sjouke Mauw, Doktorand Zach Smith und Master-Student Ihor Filimonov haben den Standard überprüft. Sie haben einen Fehler entdeckt, der es bestimmten nicht autorisierten Geräten ermöglicht, auf Passdaten zuzugreifen. Mit dem entsprechenden Gerät lassen sich Reisepässe in unmittelbarer Nähe scannen, unter Beobachtung stehende Passinhaber wiedererkennen und Aufenthaltsorte ermitteln, erklärt Dr. Horne. Somit besteht für Inhaber von Reisepässen kein Schutz davor, dass ihre Bewegungen von einem nicht autorisierten Beobachter überwacht werden.
Grenzen und Auswirkungen des Fehlers
Ein nicht autorisiertes Gerät, das einen Pass aus mehreren Metern Entfernung scannt, kann diesen Pass zwar identifizieren und nachverfolgen, jedoch nicht lesen. So besteht durch einen Angriff beispielsweise keine Gefahr für die biometrischen Informationen, die auf einem Chip im Pass gespeichert sind. Der Fehler ermöglicht es Angreifern zwar nicht, auf alle Informationen des Passes zuzugreifen, die Identität, der Aufenthaltsort und somit die Privatsphäre des Passinhabers, sind jedoch anfällig für mögliche Angriffe.
Da die meisten Reisepässe heute den gleichen Standard verwenden, ist diese Sicherheitslücke ein weltweites Problem, so Dr. Horne weiter. In Europa verstößt eine solche Sicherheitsverletzung wahrscheinlich gegen die Anforderungen des EU-Datenschutzrahmens. Regierungen tragen die Verantwortung, die Privatsphäre der Bürger zu schützen und sollten gewährleisten, dass offizielle Dokumente vor derartigen Angriffen sicher sind.
Das Forscherteam hat sich im Juni an die ICAO gewandt und sie über die Ergebnisse der Untersuchung informiert. Es lieferte auch verschiedene Vorschläge zur Wiederherstellung des Datenschutzes, beispielsweise, dass die Hersteller von e-Pass-Readern für den Datenschutz der Passinhaber verantwortlich sein sollten.
Die Ergebnisse der Studie Breaking Unlinkability of the ICAO 9303 Standard for e-Passports Using Bisimilarity wurden am Dienstag, den 24. September, auf der ESORICS 2019 Conference, Europas führender Konferenz für Systemsicherheit, vorgestellt. Die ESORICS wird zum 24. Mal vom Interdisciplinary Centre for Security, Reliability and Trust (SnT) organisiert und findet vom 23. bis 27. September an der Universität Luxemburg statt.
###