Nach langem suchen wurden wir fündig – wohingegen Bild, Rheinpfalz und auch die öffentlich-rechlichen (tagesschau) nur wohlwollende Worte für die App finden, beschäftigt sich heise online mit der Kritik welche TÜV Informationstechnik (TÜVit), einer auf IT-Sicherheit spezialisierten Tochter des TÜV Nord, heraus fand. Wieso? Weil Sie für die Bundesregierung kostenlos die Corona-Warn-App auf Sicherheitslücken prüfen.
Wir haben für euch die wichtigsten Fakten, welche unsere Mainstream Medien unter den Tisch fallen lassen, hier zusammengefasst.
TAN-Sicherheitslücke
Was heißt das genau?
Das gravierendste von den TÜV-Prüfern entdeckte Sicherheitsproblem besteht mit den TANs, die Patienten in die App eingeben können, um zu bestätigen, dass sie positiv auf SARS-CoV-2 getestet wurden. Nach Bestätigung einer positiven Diagnose kann ein App-Nutzer den Prozess anstoßen, mit dem seine Diagnose-Schlüssel über das Apple/Google-API an den Backend-Server der App übermittelt werden. Dadurch laden dann die Apps aller anderen Nutzer diese Schlüssel herunter und prüfen, ob ihr Anwender mit dem als positiv getesteten Anwender Kontakt hatte.
Der Algorithmus, mit dem diese TANs generiert wurden, war relativ leicht zu knacken, so dass sich jeder solche TANs beliebig hätte erstellen können. Damit hätte man sich dann fälschlich als positiv getestet ausgeben können. Hier findet ihr unseren Blog-Beitrag zu weiteren Problemen einer Tracing-App.
Große Teile der App sind ungeprüft
Weitere von der TÜVit gefundene Probleme können die SAP- und Telekom-Entwickler hoffentlich vor Erscheinen der App beheben. Allerdings, sagte Dirk Kretzschmar (Geschäftsführer), sind weite Teile der App-Infrastruktur außerhalb des Prüfauftrags seiner Mitarbeiter.
Solche Tests wären im aktuellen, von der Regierung bestimmten, Zeitplan allerdings auch arg unrealistisch, wenn sie gründlich durchgeführt werden sollen – jedenfalls legt das unsere Erfahrung mit ähnlichen Pentest-Unternehmungen nahe. Aktuell prüft die TÜVit nur die von den SAP- und Telekom-Entwicklern selbst umgesetzten Schutzmaßnahmen.
Auch in einem weiteren Beitrag von Kuketz Security Blog kann man zusammenfassend sagen, die Datenbankberechtigungen sind viel zu weitgehend, ein erfolgreicher Angreifer könnte auf alle Daten zugreifen oder diese auch löschen.
Wir wissen ja mittlerweile alle, das Daten ein sehr kostbares Gut für große Unternehmen sind 😉
Den Stiftung-Zwitschertest konnte diese App nicht standhalten.
Wichtig – die App wird ab Dienstag nutzbar sein…
2 Antworten auf „Corona-Warn-App“
Die können such ihre App sonst wo hinstecken
Diese CoronaAPP Daten sind Forschungs Daten,und alle Deutschen Forschungs Daten müßen an die USA Übermittelt werden auch APP Datei alles! Hier dabei an Bill Gates!!alle Datei Daten APP!!