Im Kampf gegen das Coronavirus hatte BS Software Development vor wenigen Tagen eine App veröffentlicht, die die Kommunikation von Corona-Testergebnissen beschleunigt. Die Telekom stellt dafür eine Healthcare Cloud zur Verfügung, in der die Testergebnisse der Patienten gespeichert werden. Das Computerfachmagazin c’t berichtet jetzt: Die App ist unsicher. Welche Sicherheitslücke weist die App auf? Und können User die App noch gefahrlos verwenden?
So funktioniert die Corona-App
User scannen den Barcode eines Etiketts, das sie beim Test vom Arzt erhalten, über die App ein. Liegt das Testergebnis vor, erhalten sie eine Push-Benachrichtigung. Sie können das Ergebnis dann auf dem Smartphone abrufen.
Warum ist die Corona-App unsicher?
Scannen User in der App den QR-Code ein, baut diese eine Verbindung zum Server auf. Das passiert über https. Die App prüft jedoch das Zertifikat nicht. Zudem ist dies seit Jahren abgelaufen. Und: Es kommt eine veraltete Verschlüsselungstechnik zum Einsatz. Heise.de vermutet daher, dass Dritte über einen Man-in-the-Middle-Angriff fremde Testergebnisse abrufen könnten.
So haben die Entwickler auf die Sicherheitslücke reagiert
Die Telekom hat die Sicherheitsmängel bereits bestätigt. BS Software hat die Server heruntergefahren und so die Verbindung zur App gekappt. Das Entwicklerunternehmen geht jedoch nicht davon aus, dass User-Daten in Gefahr waren. Denn: Die gesamte Kommunikationskette sei End-2-End verschlüsselt. Daher sei auch keine Man-in-the-Middle-Attacke möglich, so der Geschäftsführer. Angreifer könnten die Sicherheitslücke daher nicht genutzt haben, um fremde Testergebnisse abzurufen.
c’t und Golem halten Datenabfrage für möglich
Das Computerfachmagazin c’t und Golem.de können diese Einschätzung nicht nachvollziehen. Sie gehen davon aus, dass Dritte theoretisch das Testergebnis von Patienten einsehen konnten. Da die App die Testkennung über reines https ohne Zertifikatsprüfung übertragen habe, könnten Angreifer die Kennung abgefangen und dann das Ergebnis selbst abgefragt haben.
Fazit
BS Software Development hat angekündigt, in Kürze eine aktualisierte Version der App zu veröffentlichen. Das Unternehmen habe diese bei Google und Apple bereits eingereicht.
Anzeige





Dann geh zur Sparkasse und gib dort deinen Schein ab, was glaubst du denn wo sich diese Bearbeiterin einloggt und deine Daten einträgt...?
Ins Brötchennetz??
Die macht genau das selbe wie alle anderen auch