Mel
Seit der letzten Woche ließen sich die ersten Corona-Selbsttests bei den Discountern Lidl und Aldi erwerben. Die Nachfrage war riesig, die Tests waren binnen kürzester Zeit komplett ausverkauft. Mit den Schnelltests soll es binnen Minuten möglich sein, festzustellen, ob der oder die Getestete mit dem Coronavirus infiziert ist. An der Durchführung und den Ergebnissen dieser Schnelltests gibt es zunächst einmal nichts auszusetzen – allerdings macht der Hersteller Aesku Diagnostics nun mit einer Zertifikats-Panne auf sich aufmerksam.
Denn Aesku Diagnostics wirbt unter anderem damit, dass sich ein negatives Schnelltest-Ergebnis und dem danach ausgestellten Zertifikat dafür verwenden ließe, um Zugang zur Gastronomie, Geschäften oder Veranstaltungen zu erhalten. Bisher gibt es in Deutschland keine solchen Verordnungen – und so wie es aussieht, ist das auch gut so. Denn: Zertifikate mit einem negativen Testergebnis ließen sich bei den Schnelltests von Aesku bereits dann erstellen, wenn ein außen auf der Testverpackung angebrachter QR-Code gescannt wurde – unabhängig davon, ob der Nutzer einen Test gemacht oder überhaupt gekauft hat.
Nach Einscannen des QR-Codes auf der Verpackung und dem Aufrufen der Web-App können dann unter Angabe von Führerschein- oder Personalausweis-Daten gleich mehrere Testzertifikate pro Code als PDF heruntergeladen werden. Dabei lassen sich auch gefälschte Daten angeben, dies wird nicht überprüft. Auch die Original-Verpackung muss für den Scan des QR-Codes nicht vorhanden sein: Die maximal fünf auszustellenden Zertifikate werden auch über ein Foto oder Video ausgestellt. Im schlimmsten Fall geht bei einem Missbrauch dieser Zertifikate der Besitzer bzw. Testende komplett leer aus und bekommt kein Zertifikat mehr ausgestellt. Zudem setzt der Hersteller darauf, dass der Nutzer des Schnelltests während des Zertifikats-Prozesses selbst angibt, ob der Test positiv oder negativ war. Auch bei einem Positiv-Test kann so einfach „negativ“ ausgewählt werden, und ein entsprechendes Zertifikat wird ausgegeben.
Problemloser Abruf von personenbezogenen Daten möglich
Das Team von c’t hat sich außerdem das gesamte System von Aesku genauer angesehen und dabei einige weitere Schwachstellen entdeckt. Vorhersagbare Download-URLs ermöglichen es Betrügern beispielsweise, gezielt nach ausgestellten Zertifikaten Ausschau zu halten.
„Die Download-URL der Zertifikat-Dateien enthielten als einzigen variablen Teil den Unix-Timestamp des Zeitpunkts, an dem das Zertifikat erstellt wurde – also die Anzahl der Sekunden, die seit Neujahr 1970 vergangen sind. So war es ein Leichtes, die Website von Aesku systematisch nach Zertifikaten zu durchsuchen – der Abruf war nicht einmal durch ein Captcha vor einem massenhaften Download per Skript geschützt. Den Timestamp als einziges Unterscheidungsmerkmal zu verwenden zeigt auch, wie kurzsichtig das Zertifikatvergabesystem programmiert wurde: Da die Zertifikate nur 24 Stunden gültig sind, sollte man sich idealerweise täglich testen – bei rund 80 Millionen Einwohnern in Deutschland würde dies durchschnittlich knapp 1000 Zertifikate pro Sekunde bedeuten. Das System verkraftete jedoch nur ein einziges Zertifikat pro Sekunde, es war also auf nicht einmal 100.000 Tests täglich ausgelegt.“
Die ausgestellten Negativ-Zertifikate des Schnelltests von Aesku sind damit faktisch wertlos. Auch dem Team von c’t gelang es binnen Stunden durch simples Ausprobieren, „genügend PDFs zu finden, um über drei Monate lang jeden Tag ein neues erschlichenes Zertifikat vorweisen zu können“, wie es im Artikel heißt. Zudem ließ es sich durch den Abruf der PDFs auch problemlos an personenbezogene Daten kommen, wie Heise berichtet. Aesku verstößt damit sogar gegen die eigenen aufgesetzten Datenschutzbestimmungen, die versprechen, dass Personalausweis- oder Führerscheinnummer verschlüsselt werden und nicht reproduzierbar sind. Mittlerweile hat Aesku Diagnostics die Unix-Timestamps der Zertifikats-URL entfernt und durch 128 Bit lange IDs ersetzt – betrügerische Handlungen sind aber weiterhin möglich, da die QR-Codes auf den Verpackungen nach wie vor identisch sind. Die stümperhafte Umsetzung dieser so wichtigen Maßnahme gegen das Coronavirus lässt daher aktuell leider nur wenig Vertrauen in die Zertifikate von Schnelltests aufkommen.
Freddy
Wen wundert es…es geht um Geldmacherei. Ich finde es aber gut, dass appgefahren auch über solche aktuellen Themen knapp und informativ berichtet, auch wenn es wenig Bezug zur IT bzw. „Apps“ gibt. Ihr trefft genau den richtigen Mix! Super, weiter so und danke!!
„Ich finde es aber gut, dass appgefahren auch über solche aktuellen Themen knapp und informativ berichtet …“. „…es geht um Geldmacherei“ … Du sagst es. Die machen das hier nicht um dir den Tag zu versüßen.
Wobei „stümperhaft umgesetzt“ noch sehr geschmeichelt ist. Das ist so schleumgesetzt, dass es schon grob fahrlässig ist. Ich hoffe die kriegen ein Bußgeld für die nicht abgesicherten personenbezogenen Daten, damit sich die „Stümperei“ auch „gelohnt“ hat.
Wird da nicht die Datenschutzbehörde betreffend der DSGVO aktiv? Stimmt, das ist nicht stümperhaft umgesetzt, sondern grob fahrlässig.
Aldi beutet alles aus! Die Lebensmittelerzeuger und die Verbraucher. Mich wundert da nicht.
Inwiefern hat die mangelhafte Ausstellung von Testzertifikaten eines externen Unternehmens etwas mit der Ausbeutung von Lebensmittelerzeugern oder den Verbrauchern seitens Aldi zu tun?
Das leck ist bereits geschlossen meines Wissens
Ohh steht ja sogar unter dem Artikel soweit bin ich noch gar nicht vorgedrungen gewesen
Die URL der PDFs wurde geändert, um massenhaftes Aufrufen durch Dritte zu verhindern, ja. Betrug ist allerdings weiterhin möglich, da die QR-Codes nach wie vor auf der Verpackung aufgedruckt sind.