BAG patcht

Update: Bund schliesst Sicherheitslücke in Covid-Zertifikats-App

Uhr
von Saray-Lien Keser und Silja Anders und cka, lha

Nachdem die Sicherheitslücke in der Covid-Zertifikats-App publik gemacht wurde, ergreift der Bund nun Massnahmen. Ein App-Update soll den Bug beheben.

(Source: Claudio Schwarz / Unsplash)
(Source: Claudio Schwarz / Unsplash)

Update vom 17. November 2021: Nach der Veröffentlichung eines Bugs in der Covid-Zertifikats-App hat das Bundesamt für Gesundheit nun ein Update bereitgestellt. Wie "Watson.ch" berichtet, sollen mit der Version 2.8.0 die falsch angezeigten "Gültigkeiten bei Abweichung der Systemzeit von der lokalen Zeit" korrigiert werden. Seit dem 15. November ist das Update für Apple-Nutzerinnen und -Nutzer sowie Huawei-Smartphones verfügbar. Für Android-Userinnen und -User steht bisher nur die alte Version zur Verfügung. Auf Anfrage von "Watson", weshalb das Bereitstellen des Updates so lange dauerte - der Bug wurde bereits im Oktober entdeckt - antwortete BAG-Sprecher Grégoire Gogniat: "Solche Anpassungen brauchen Zeit, zumal es sich nicht um die einzige Weiterentwicklung handelt. Neu können zum Beispiel Zertifikate nach einem Antikörpertest ausgestellt werden - auch das musste in den Release eingebaut werden."

Wird die Covid-Cert-App fälschlich zur Massenprüfung von Covid-Zertifikaten verwendet, gebe es nun einen Warnhinweis, zitiert "Watson" Gogniat. "Verwendet ein Prüfer versehentlich die eigene Halter-App für die Prüfung anderer Zertifikate, wird er durch diesen Hinweis darauf aufmerksam gemacht, dass er die Check-App verwenden muss." Ausserden sei es technisch nun nicht mehr möglich, die Gültigkeit eines Zertifikats zu manipulieren, indem man die Systemzeit des eigenen Handys verstelle.

 

Originalmeldung vom 21. Oktober 2021: Bug ermöglicht Missbrauch der Covid-Zertifikats-App

Aufgrund eines Bugs kann bei der Covid-Zertifikats-App "Covid-Cert" die Gültigkeit der Zertifikate verfälscht werden. Dies berichtet das Nachrichtenportal "Watson.ch".

Zur Überprüfung des Covid-Zertifikats werden diese per QR-Code an Eingängen von Restaurants oder Nachtclubs gescannt. Ein grünes Aufleuchten des Codes in einer separaten Prüf-App signalisiert dem Personal, dass das Zertifikat gültig ist. Leuchtet es rot, ist es wohl ungültig. Weshalb auch gültige Zertifikate Mitte Oktober rot aufleuchteten, lesen Sie hier.

Wer etwas schneller prüfen will, kann alternativ auch direkt in der Zertifikats-App auf einen Überprüfungsbutton drücken. Diese zweite, unsachgemässe Variante kann jedoch ausgenutzt werden, da auch abgelaufene Test- oder Genesenenzertifikaten noch lange über das Ablaufdatum als gültig deklariert werden können, schreibt Watson. Dazu musste man lediglich das Datum auf dem Smartphone ändern. Liegt das Ablaufdatum des Zertifikats vor dem auf dem Smartphone eingestellten Datum, wird es wieder als gültig angezeigt. Laut dem Bericht liess sich der Bug in beide Richtungen missbrauchen, sodass die Gültigkeit ebenso verkürzt werden konnte.

 

Kontrollvorgaben

Bei einem Vergleich der Zertifikatskennung mit einer Liste des Bundes wurde zudem deutlich, dass abgelaufene Zertifikate nicht als "zurückgezogen" gelten. Anders als bei Zertifikaten, die Tippfehler oder eine missbräuchliche Ausstellung aufweisen, wie es weiter heisst. Die Kontrollvorgaben des Bundesamts für Gesundheit (BAG) beschränkten sich zudem nur auf den Abgleich von Vor- und Nachname sowie Geburtsdatum gemäss Identitätskarte oder Pass des Gastes. Die Kontrolle des Gültigkeitsdatums war nicht vorgesehen, weswegen Lokalitäten auch auf die "Selbstprüfung" setzten, wie Watson weiter schreibt.

Das BAG kommuniziere bislang jedoch nicht, wie und bis wann diese Manipulationsmöglichkeit behoben wird. Jedoch empfiehlt das Bundesamt ausdrücklich die Nutzung von Kontroll-Apps wie beispielsweise der offiziellen App des Bundes, "Covid-Certificate-Check". "Damit sind Manipulationen nicht möglich. Dies wird auch in der Verordnung Covid-Zertifikate nochmals ausdrücklich vermerkt werden", kommentiert das BAG.

Digitale Covid-Zertifikate werden seit Juni von den Kantonen ausgestellt. Was Schweizer Unternehmen dazu sagen und wie diese die weitere Entwicklung beurteilen, erfahren Sie hier.

Webcode
DPF8_234879