Noch keine Reaktion vom RKI

Folgenschwerer Bug: kann die Corona-Warn-App so leicht ausgetrickst werden?

QR-Code, das digitale Impfzertifikat in der Corona Warn-App auf einem Smartphone bestätigt eine abgeschlossenen Impfung
+
Das Impf-Zertifikat lässt sich auch in der Corona-Warn-App anzeigen - allerdings mit einem kleinen Fehler

Die Corona-Warn-App soll alles einfacher machen: auch den digitalen Impf-Pass. Nutzer bemängeln jedoch gleich mehrere Sicherheitslücken.

Berlin - Der heiß ersehnte digitale Impf-Pass ist da. Mittels QR-Code können sich Geimpfte das Zertifikat aufs Smartphone laden. Das geht nicht nur mit der dafür entwickelten CovPass-App oder der Luca-App, sondern auch mit der Corona-Warn-App. Doch wie gut funktioniert das?

Die Anwendung erfreut sich schon länger eher gemischter Beliebtheit. Immer wieder gibt es kritische Stimmen, Fehlermeldungen und Zweifel an der Wirksamkeit für die bundesweite Pandemiebekämpfung. So nannte der bayerische Ministerpräsident Markus Söder die Corona-Warn-App mal einen „zahnlosen Tiger“. Auch was das neue Impf-Zertifikat betrifft, scheint dieser Tiger noch etwas widerwillig. Offenbar scheint es gleich mehrere Bugs zu geben.

Folgenschwerer Bug bei Corona-Warn-App - Datum umstellen reicht, um als geimpft zu gelten

Wer bereits geimpft ist, bekommt vom Impfzentrum, der Arztpraxis oder Apotheke einen ausgedruckten QR-Code und kann damit den Impf-Pass in seine App laden. Auch wenn noch keine 14 Tage nach der Corona-Impfung verstrichen sind. Das Feld „Digitaler Impfnachweis: Sars-CoV-2 Impfschutz“ ist dann eigentlich grau hinterlegt. Der volle Impfschutz ist schließlich erst nach zwei Wochen erreicht. Unter der Überschrift steht dann: „Vollständiger Impfschutz in 14 Tagen“.

Wie der Twitter-Nutzer Marco Bereth beweist, lässt sich diese Anzeige aber relativ simpel austricksen: Wer nämlich das Datum auf seinem Handy verstellt - in seinem Fall auf den 1. Juli - der bekommt schon jetzt einen vollständigen Impfschutz angezeigt. Ein Screenshot zeigt: Es funktioniert. Lediglich in der Detailansicht ist das Datum der Impfung zu sehen, und der Trick zu überführen. Eine folgenschwere Schwäche des Systems. „Ungefähr genauso hat man vor 15-20 Jahren die 30-Tage-Testversion von Software ‚gepimpt‘“ spottet Bereth.

Bisher reagierte das Robert-Koch-Institut noch nicht auf die scheinbare Sicherheitslücke.

Bug bei Corona-Warn-App: Kann ich meinen QR-Code einfach kopieren?

Auch andere Geimpfte stoßen in der Corona-Warn-App auf Bugs. So deckt ein weiterer Twitter-Nutzer eine Sicherheitslücke des QR-Codes auf. „Offenbar ist das kein Public/Private Key-Verfahren“ schreibt er und wendet sich in seinem Tweet an das Robert-Koch-Institut: „Ich habe es mal getestet: Wenn ich den zur Kontrolle gedachten QR-Code vorzeige, dann kann ich beim Scannen mit einem anderen Telefon den Code importieren.“ Der Impf-Pass lasse sich so, ohne Sicherheitsabfrage und ohne Freigabe einfach auf ein anderes Smartphone importieren.

Diese „Schwäche“ der App scheint auf den ersten Blick eine Daten- und Sicherheitslücke anzudeuten. Sie ist aber offenbar bewusst so integriert. Schließlich ist der Code nur in Kombination mit dem Personalausweis gültig. Linus Neumann vom Chaos Computer Club erklärt im ZDF: „Das ist relativ unkritisch, entscheidend ist, das Dokument hat überhaupt keine Gültigkeit ohne das Ausweisdokument hat.“ Nach zahlreichen Antworten auf seinen Feed, muss schließlich auch der Twitter-Nutzer einsehen: „Ich verstehe, dass man sich offenbar bewusst so entschieden hat und die Kontrolle der Identität zwingend dazu gehört.“ Trotzdem gibt er zu bedenken: „Da diese aber in der Realität oft nicht stattfindet, halte ich es weiter für problematisch.“ (vs) *Merkur.de ist ein Angebot von IPPEN.MEDIA

Das könnte Sie auch interessieren

Meistgelesen

Weltweit mehr als 200 Millionen Corona-Infektionen
Weltweit mehr als 200 Millionen Corona-Infektionen
Weltweit mehr als 200 Millionen Corona-Infektionen

Unsere News per Mail

Nach der Registrierung erhalten Sie eine E-Mail mit einem Bestätigungslink. Erst mit Anklicken dieses Links ist die Anmeldung abgeschlossen. Ihre Einwilligung zum Erhalt des Newsletters können Sie jederzeit über einen Link am Ende jeder E-Mail widerrufen.

Die mit Stern (*) markierten Felder sind Pflichtfelder.

Kommentare