DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bei Einlasskontrollen sollte man das Handy nicht aus der Hand geben. Zertifikat-Kontrolleure sollten die Prüf-App des Bundes verwenden. Der «Refresh»-Button verschwindet.
Bei Einlasskontrollen sollte man das Handy nicht aus der Hand geben. Zertifikat-Kontrolleure sollten die Prüf-App des Bundes verwenden. Der «Refresh»-Button verschwindet.
Analyse

Wichtige Änderung bei der Schweizer Zertifikate-App – das musst du wissen

Bei der Schweizer Covid-Zertifikats-App ist die Benutzeroberfläche angepasst worden. Es ist eine kleine Änderung mit langer Vorgeschichte.
18.01.2022, 12:2218.01.2022, 13:31

Die vom Bundesamt für Gesundheit (BAG) herausgegebene Zertifikate-App und die dazugehörige Prüf-App sind wichtige Werkzeuge im Kampf gegen die Corona-Pandemie. Doch bei der Verbesserung dieser Technik harzte es.

Wenige Monate nach der Lancierung gab es Hinweise, dass eine in die Zertifikats-App integrierte Funktion fälschlicherweise genutzt wird, um fremde QR-Codes zu kontrollieren. Doch die Warnungen unabhängiger IT-Fachleute blieben scheinbar ungehört. Es dauerte fast ein Vierteljahr, bis die riskante Schwachstelle im Zertifikate-System behoben wurde.

Nun nimmt das BAG Stellung.

Was ist passiert?

Im Oktober 2021 wies watson auf die Problematik der unsachgemässen Überprüfung von Zertifikaten hin. Statt den QR-Code mit der offiziellen Zertifikate-Prüf-App des Bundes zu scannen, nahmen bequeme Kontrolleure das Handy der Gäste und drückten den Aktualisieren-Button: Die App zeigt daraufhin grün für «gültig» an, rot für «ungültig». Das schuf ein erhebliches Missbrauchspotential.

Damit sollte nun endlich Schluss sein. Das neuste App-Update lässt den Refresh-Button unten rechts verschwinden. Stattdessen prangt dort vorläufig ein «i» in einem Kreis.

Ein BAG-Sprecher erklärte gegenüber watson, dass der Button innert zwei Wochen ganz verschwinde.
Ein BAG-Sprecher erklärte gegenüber watson, dass der Button innert zwei Wochen ganz verschwinde.bild: watson

Wenn man auf das «i» tippt, erscheint der Hinweis, dass die Prüfung von Zertifikaten mit der entsprechenden Prüf-App («COVID Certificate Check») vorzunehmen sei.

Nach dem jüngsten App-Update müssen Zertifikats-Kontrolleure zur separaten Prüf-App greifen, um herauszufinden, ob ein vorgewiesenes Zertifikat gültig ist.
Nach dem jüngsten App-Update müssen Zertifikats-Kontrolleure zur separaten Prüf-App greifen, um herauszufinden, ob ein vorgewiesenes Zertifikat gültig ist.bild: watson

Seit wann ist das Problem bekannt?

Die Schweizer Covid-Zertifikate-App und die dazugehörige Prüf-App wurden bekanntlich im Juni 2021 lanciert. Fachleute des Bundes und der privaten App-Entwicklerfirma Ubique arbeiten seither gemeinsam am Projekt und nutzen dafür die bekannte Software-Entwicklungs-Plattform GitHub.

Dort, bei Github, ist der gesamte Programmcode öffentlich einsehbar – es ist ja ein Open-Source-Projekt – und er kann von Interessierten heruntergeladen werden. Und dort tauschen sich auch unabhängige IT-Fachleute und interessierte Dritte über das Projekt und die Sicherheit aus.

Im September 2021 warnte ein User in einem öffentlich einsehbaren Posting, dass die Aktualisierungsfunktion eine Schwachstelle im Zertifikate-System darstelle. Seine Begründung: Die bei Github verfügbaren Softwarekomponenten (das sogenannte «Repository») könnten verwendet werden, um eine gefälschte Zertifikate-App zu erstellen und diese (auf einem Android-Smartphone) zu installieren.

Bei einer unsorgfältigen Überprüfung könnte man so ein vermeintlich gültiges Zertifikat vortäuschen:

«Restaurants, Fitnesscenter usw. nutzen das grüne Häkchen nach der Aktualisierung, um der Gültigkeit des Zertifikats zu vertrauen, anstatt den QR-Code zu scannen. Dies ist jedoch unsicher: Jeder ‹Schwurbler› kann dieses Repository einfach klonen und die App leicht modifizieren, damit sie immer ein grünes Häkchen anzeigt, unabhängig davon, was im QR-Code angezeigt wird, und einen ansonsten verbotenen Bereich betreten.»
quelle: github.com

Daraufhin passierte – augenscheinlich nichts.

Im Oktober warnte ein anderer Github-User:

«In letzter Zeit verwenden immer mehr Leute nicht die Scanner-App, sondern die Schaltfläche zur Selbstverifizierung, um mein Zertifikat zu kontrollieren. Das erscheint mir aber nicht richtig. Ich meine, jemand könnte den Code hier verwenden, die Verifizierung entfernen und hätte dann ein ‹gültiges› Zertifikat.»
quelle: github.com

Nun reagierten die Verantwortlichen. Zumindest lassen bei Github einsehbare Antworten darauf schliessen. Das Problem war erkannt, doch wieder passierte – nichts.

Erneut verstrich ein Monat, in der bequeme Türsteher und andere Kontrolleure nur den Refresh-Button betätigten. Sprich: Eine unbekannte Zahl von Zertifikaten wurde nicht so kontrolliert, wie es der Bund verlangt und vorschreibt.

Im November präsentierte ein weiterer Github-User, auch er ein unabhängiger IT-Spezialist, eine eigene Lösung. Dieser Vorschlag kam der nun realisierten Verbesserung schon sehr nah: Wer in der Zertifikate-App den Aktualisieren-Button betätigte, sollte in einem aufpoppenden Fenster darauf hingewiesen werden, stattdessen die Prüf-App zu verwenden.

screenshot: github.com

Wieder gab es keine öffentlich einsehbare Reaktion seitens der beim Bund zuständigen Fachleute.

Daraufhin platzte dem Github-User, der sich schon früh in die Diskussion eingebracht hatte, der Kragen.

Am 19. November kritisierte er:

«Es ist jetzt zwei Monate her, dass ich das iOS-Problem eröffnet habe, und wir müssen davon ausgehen, dass dies absichtlich nicht behandelt wird. Die einzige Möglichkeit, etwas zu bewegen, wäre wahrscheinlich, eine App zu entwickeln, die ungültige QR-Codes für Micky Maus usw. erstellt und ein grünes animiertes Häkchen anzeigt.»
quelle: github.com

Interessantes Detail: Offenbar gab es in Deutschland mit der dortigen Corona-Warn-App ähnliche Probleme. Dazu muss man wissen, dass dort die Zertifikatsverwaltung im Gegensatz zur Schweiz in die Warn-App integriert ist.

Der Blick in die deutsche Corona-Warn-App zeigt, dass Kontrolleure aufgefordert werden, die separat verfügbare Prüf-App (auf ihrem Smartphone) zu verwenden.
Der Blick in die deutsche Corona-Warn-App zeigt, dass Kontrolleure aufgefordert werden, die separat verfügbare Prüf-App (auf ihrem Smartphone) zu verwenden.bild: watson

Damit zurück in die Schweiz, wo sich im Dezember bei Github die Situation zuspitzte. Ein engagierter User schlug vor, dem BAG, bzw. der für die App-Entwicklung zuständigen Firma ein Ultimatum bis am 20. Januar zu stellen. Sollte der Aktualisieren-Button in der Zertifikate-App nicht entschärft werden, demonstriere man die Gefährlichkeit der Schwachstelle mit einer Beispielsoftware («Proof of Concept») und erhöhe damit den öffentlichen Druck auf den Bund.

screenshot: github.com

Nun endlich stellten die Projekt-Verantwortlichen in Aussicht, dass sie das Problem ernsthaft angehen wollen.

«Wir sind uns der Probleme bewusst, die ihr im Zusammenhang mit der Aktualisierungsschaltfläche angesprochen habt. Derzeit werden mögliche Lösungen geprüft. Wir werden euch rechtzeitig auf dem Laufenden halten.»
quelle: github.com

Anfang Januar wies ein Github-User darauf hin, dass die Entwickler an der iOS-Version der Zertifikats-App arbeiteten. Und ein Projektverantwortlicher bestätigte, dass die Anpassungen «in den nächsten Wochen» ausgeliefert würden.

Fragt sich, warum hat die kleine Anpassung der Benutzeroberfläche dermassen lange gedauert?

Was sagt das BAG?

watson hat am Dienstag beim Bundesamt für Gesundheit – als Herausgeberin der App – nachgefragt.

In Apples App Store (iOS) heisst es im Beschrieb zum Update (3.2.0): «Ab dem 17.1.2022 wird zunächst übergangsweise ein Info-Button erscheinen.» Was ist damit gemeint?

Dazu BAG-Sprecher Grégoire Gogniat:

«Der Info-Button weist den Halter bzw. die Halterin abhängig vom Zeitpunkt des ersten Gebrauchs nach dem Update der ‹COVID Certificate-App› auf die neuste Version während zwei Wochen darauf hin, dass der ‹Refresh-Button› deaktiviert wurde. Der Hinweis bleibt jeweils für 2 Wochen bestehen. Danach wird auch der Info-Button nicht mehr erscheinen.»

Auf die Frage, warum es dermassen lange dauerte, bis das Problem nun behoben wurde, heisst es:

«Die Herausforderungen in Zusammenhang mit dem Refresh-Button sind dem Projektteam bereits seit längerem und unabhängig von der Diskussion auf Github bekannt. Die epidemiologische Entwicklung in den letzten Monaten hat wiederholt (teilweise sehr kurzfristig) Anpassungen im Covid-Zertifikat benötigt. Entsprechend wurden die Release-Inhalte priorisiert.»

Gemäss Darstellung des Bundes hatten die App-Entwickler also nicht früher Zeit, die Anpassung vorzunehmen.

Auf der BAG-Webseite zur Zertifikate-App werden Besucherinnen und Besucher nun eindringlich ermahnt:

«Wichtig: Nutzen Sie konsequent die ‹COVID Certificate›-Check-App zur Prüfung des QR-Codes. Nur so kann garantiert werden, dass das präsentierte Zertifikat und die darin enthaltenen Angaben echt sind und nicht manipuliert wurden. Ein manuelles Scrollen, oder das Prüfen auf Sicht in der Halter-App ist nicht zugelassen.»
quell: bag.admin.ch

Es ist zu befürchten, dass in der Bevölkerung beträchtliche Verwirrung oder Unkenntnis herrscht, was das korrekte Überprüfen der Zertifikate betrifft. Darum sei an dieser Stelle empfohlen, wenn nötig die App zu aktualisieren. Und es sei auch nochmal auf die BAG-Anweisungen verwiesen:

Um sicherzustellen, dass ein präsentierter QR-Code tatsächlich zur vorweisenden Person gehöre, müsse (etwa bei Eingangskontrollen) überprüft werden, dass Name, Vorname und Geburtsdatum auf dem Covid-Zertifikat und dem amtlichen Ausweisdokument übereinstimmen. Und vor allem sollte auch das Passfoto zur Person mit dem Zertifikat passen.

Welche «Lücke» schloss der Bund im Oktober?

Im Oktober 2021 wurde per App-Update eine Schwachstelle behoben, die gemäss watson-Recherchen bereits von Kriminellen ausgenutzt wurde. Seither funktioniert das Manipulieren der Geräte-Systemzeit nicht mehr, um vorzutäuschen, dass ein abgelaufenes Zertifikat gültig ist.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Das Schweizer Covid-Zertifikat auf dem Smartphone

1 / 23
Das Schweizer Covid-Zertifikat auf dem Smartphone
quelle: keystone / anthony anex
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

«Fuul Haus» – Die neue Sitcom in Pandemie-Zeiten

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

76 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
7immi
18.01.2022 12:34registriert April 2014
Ich finde die Begründung des BAG legitim, andere Probleme haben Vorrang. Die Lücke liess sich mit richtigem Scannen einfach "manuell" schliessen. Ausserdem mussten wohl diverse Angestellte Überzeit abbauen Ende Jahr.
9010
Melden
Zum Kommentar
avatar
McShrimp (aka Rollassel)
18.01.2022 13:33registriert Mai 2021
Nice! Endlich muss ich nicht mehr jedem zweiten Gast erklären, dass ich trotz "grünem Höggli" das Zertifikat scannen muss.
Manche wollen dann "affig tue". Speziell in Erinnerung bleibt einer, der nicht wollte, dass ich das Zerti scanne, weil ich ihn dann angeblich tracken kann....
Ausserdem nimmt das blöde grüne Häckchen extra Zeit in Anspruch, weil man dann den QR-Code nicht scannen kann. Ja, jede Sekunde zählt, wenn man alleine im Mittagsrush Essen an die Tische bringt im Fast Food-Resti, lol.
8710
Melden
Zum Kommentar
avatar
Lienat
18.01.2022 13:27registriert November 2017
Der Fehler ist schon bei der ursprünglichen Entwicklung der App geschehen. Für eine reine Aktualisierungsfunktion war der Button viel zu prominent platziert. Ausserdem suggerierte die hübsche Animation beim Drücken und die anschliessende Meldung, dass das Zertifikat aktuell sei, dass es sich dabei um einen validen Test handelt. Dass es gang und gäbe ist, dass Zertifikate so kontrolliert werden, ist daher wohl weniger der Bequemlichkeit geschuldet als dem Irrglauben, dass dies ein korrekter Zertifikatstest sei.
666
Melden
Zum Kommentar
76
Die wichtigsten Lehren aus dem Cyberkrieg, den Russland auch gegen die Schweiz führt
Russische Elite-Hacker und Desinformations-Kampagnen sind eine Gefahr für die Schweiz und andere westliche Demokratien. Ein aktueller Bericht zeigt, dass die Abwehr nur gemeinsam klappt.

Diktator Wladimir Putin führt nicht nur einen militärischen Vernichtungskrieg gegen die Ukraine. Er versucht mit allen Mitteln, unsere Demokratie zu zerstören.

Zur Story