freundlich
DE | FR
106
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Schweiz
Digital

Bug bei Covid-Zertifikats-App macht Missbrauch möglich

Bug bei Covid-Zertifikats-App macht Missbrauch möglich

Abgelaufene Covid-Zertifikate können bei unsachgemässer Überprüfung auch über das Gültigkeitsdatum hinaus genutzt werden. Was das für Restaurants, Fitnesscenter und Clubs bedeutet.
Cet article est également disponible en français. Lisez-le maintenant!
20.10.2021, 15:3021.10.2021, 19:38

Die meisten, die ihr Covid-Zertifikat bereits irgendwo in einem Restaurant oder im Nachtclub vorweisen mussten, kennen es: Es gibt jene Türsteherinnen, die das Covid-Zertifikat korrekt prüfen: Sie scannen den QR-Code vom Handy des Gastes und sehen dann eine grüne oder rote Farbe: gültig oder ungültig.

Es gibt aber auch Kellner, die es lieber schnell mögen: Statt den QR-Code zu scannen, drücken sie auf dem Handy des Gastes den Überprüfungsbutton: Die App zeigt dann dieselben Farben an: Grün für «gültig», rot für «ungültig».

Bei dieser zweiten, unsachgemässen Kontrolle des Covid-Zertifikats existiert eine gravierende Sicherheitslücke: Wer ein abgelaufenes Test- oder Genesenenzertifikat hatte, konnte es lange über das Ablaufdatum hinaus gültig erscheinen lassen.

Dafür musste lediglich das Datum auf dem Smartphone geändert werden. Galt das abgelaufene Covid-Zertifikat zur gefälschten Datumseinstellung des Smartphones als gültig, wurde es auch als gültig nach der Überprüfung durch die App angezeigt.

Ich möchte nicht alles lesen …
Das Covid-Zertifikat ist nach wie vor und nach aktuellstem Kenntnisstand eine sichere Möglichkeit, um einen negativen Covid-Test, eine Impfung oder eine Immunisierung nachzuweisen. Die Gültigkeit des Zertifikats soll nach offizieller Richtlinie von Restaurants, Nachtclubs und Co. wie folgt überprüft werden: Mit einem Scan durch die «Covid Certificate Check»-App. Die zurzeit mancherorts praktizierte Überprüfung auf dem Handy des Gastes ist missbrauchsanfällig.

Die «Covid Cert»-App verglich zwar die eindeutige Zertifikatskennung mit einer Liste des Bundes: Dort drauf waren aber nur Zertifikate, die aufgrund eines Tippfehlers oder missbräuchlicher Ausstellung als «zurückgezogen» markiert wurden. Ein abgelaufenes Zertifikat gilt hingegen nicht als «zurückgezogen», womit es in der Aufbewahrungs-App «Covid Cert» nur anhand des Gültigkeitsdatums überprüft wird.

Der Bug liess sich in beide Richtungen «missbrauchen»: Am 19. Oktober wurde dieses Zertifikat wieder gültig.
Der Bug liess sich in beide Richtungen «missbrauchen»: Am 19. Oktober wurde dieses Zertifikat wieder gültig.Bild: watson
Dieses Zertifikat, das am 20. Oktober ungültig wird, konnte schon einen Tag früher als «invalid» getestet werden.
Dieses Zertifikat, das am 20. Oktober ungültig wird, konnte schon einen Tag früher als «invalid» getestet werden.Bild: watson

Schnelle Zertifikatsprüfung ermöglichte Missbrauch

Aufgrund des technischen Aufbaus der Zertifikatsprüfung ist es nicht möglich herauszufinden, wie viele Personen diese Sicherheitslücke missbraucht haben. watson weiss jedoch, dass sich einzelne Covid-Massnahmen-skeptische Personen mit dem Wissen über die Sicherheitslücke gerühmt haben.

Durch diese gravierende Sicherheitslücke konnte eine Betrügerin oder ein Betrüger ein Restaurant, einen Nachtclub oder das Fitnesscenter täuschen, sofern die Türsteherin oder der Kellner zur «schnellen», aber unsachgemässen Methode griff. Bemerken konnte man die Täuschung nur, wenn man sich als Prüferin oder Prüfer das Handy des Gastes genau anschaute: Die «Covid Cert»-App zeigte das Ablaufdatum klein an.

Grün heisst gültig – das Datum unten rechts verrät aber, dass es schon abgelaufen ist.
Grün heisst gültig – das Datum unten rechts verrät aber, dass es schon abgelaufen ist.Bild: watson

Das Bundesamt für Gesundheit (BAG) bewarb zu keinem Zeitpunkt diese «schnelle» Prüfmethode. Die Behörde verwies von Anfang an auf die zweite App namens «Covid Certificate Check», mit der Prüferinnen und Prüfer einen vorgewiesenen QR-Code kontrollieren können. Die Kontroll-Vorgaben beschränkten sich jedoch auf den Abgleich von Vor- und Nachname sowie Geburtsdatum gemäss Identitätskarte oder Pass.

Ein genauer Blick auf das Gültigkeitsdatum war gemäss letztem Stand der BAG-Webseite nicht vorgesehen. Was wohl einige Prüferinnen und Prüfer dazu verleitete, die Zertifikatsprüfung ein­fach­heits­hal­ber mit dem Handy des Gastes vorzunehmen.

Diese «schnelle» und unsachgemässe Prüfung wurde auch in Kenntnis der Behörden so praktiziert. So wurde auf der Entwicklungsplattform zum Schweizer Covid-Zertifikat vor wenigen Tagen darüber diskutiert, dass einzelne Lokalitäten nicht zum «Scan», sondern zur «Selbstprüfung» auf dem Handy des Gastes griffen.

Bund verweist auf offizielle App

watson bot dem zuständigen Bundesamt für Gesundheit (BAG) Zeit zur Beseitigung des Missbrauchspotentials, um Betrügerinnen und Betrügern nicht zur Ausnutzung zu verleiten. Das Bundesamt kommunizierte bislang nicht, bis wann die Manipulationsmöglichkeit behoben wird.

Das BAG teilt auf Anfrage lediglich mit, dass alle Kontrollstellen – also Restaurantbetreiber, Kellner, Türsteherinnen und Co. – die Kontroll-Apps für die Überprüfung von Zertifikaten nutzen müssen. Gemeint sei insbesondere «COVID Certificate Check», die offizielle App des Bundes. «Damit sind Manipulationen nicht möglich. Dies wird auch in der Verordnung Covid-Zertifikate nochmals ausdrücklich vermerkt werden», so die kurze Stellungnahme.

Damit hat das BIT durchaus recht – nur zeigt die Erfahrung der letzten Tage, dass eben nicht alle Kontrollstellen das Zertifikat richtig kontrollieren. Zur Frage, ob der Bund wegen des Missbrauchspotentials deutlicher auf die korrekte Zertifikatsprüfung mittels Scan hinweisen soll, antwortet das Bundesamt für Gesundheit lediglich: «Das BAG hat sowohl die Verbände als auch die Kantone darauf hingewiesen, dass es unzulässig ist, dass Prüfer den Refresh-Butten auf fremden Handys betätigen. Die einzige zulässige Prüfmethode ist die Verwendung der Prüf-App durch die Prüferin oder den Prüfer.»

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

106 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Verbranntes Hitzeschild
20.10.2021 15:58registriert Mai 2021
Das ist doch keine Sicherheitslücke... Ich kann die App auch selber kompilieren (ist ja Open Source), und so modifizieren, dass sie alle Zertifikate immer als "gültig" anzeigt...
1495
Melden
Zum Kommentar
avatar
FreiSchnauze
20.10.2021 15:43registriert April 2021
Wie ich sehe ist das kein Bug. Das ist einfach nur eine unsachgemässe Handhabung des Prüfvorgangs von den Türstehern und Wirten. 🙄
1158
Melden
Zum Kommentar
avatar
Madison Pierce
20.10.2021 15:51registriert September 2015
Das ist unschön, aber es war von Anfang an klar, dass die Überprüfung mit der Scan-App erfolgen muss. Es ist mit etwas technischem Verständnis klar, dass der Anzeige eines fremden Geräts nicht vertraut werden darf. Schon gar nicht, wenn die App Open Source ist und von jedem beliebig verändert werden kann.

Ich verstehe aber, dass die „Aktualisieren“-Funktion mit dem schönen grünen Haken technisch weniger kundige Prüfer dazu verleitet, darauf zu vertrauen.

Die App sollte deshalb keine Funktionen enthalten, die eine Prüfung suggerieren. In der SBB-App steht auch nicht „Billett gültig“.
1007
Melden
Zum Kommentar
106
Nazi-Denkmal auf Friedhof mitten in Chur entdeckt – Stadtpräsident hatte keine Ahnung

Auf einem Friedhof mitten im Bündner Hauptort Chur hat eine Journalistin ein Nazi-Denkmal aus der Zeit vor dem Zweiten Weltkrieg entdeckt. Der Stadtpräsident reagierte überrascht. Offenbar wusste niemand von der Existenz des Relikts mit dem nazionalsozialistischen Hintergrund.

Zur Story