Coronavirus
Ein Bug bei der Covid-Zertifikats-App macht Missbrauch möglich

Abgelaufene Covid-Zertifikate können bei unsachgemässer Überprüfung auch über das Gültigkeitsdatum hinaus genutzt werden. Was das für Restaurants, Fitnesscenter und Clubs bedeutet.

Petar Marjanovic, watson
Drucken
Teilen
Ein Fehler beim Zertifikat kann zum Missbrauch führen.

Ein Fehler beim Zertifikat kann zum Missbrauch führen.

Keystone

Die meisten, die ihr Covid-Zertifikat bereits irgendwo in einem Restaurant oder im Nachtclub vorweisen mussten, kennen es: Es gibt jene Türsteherinnen, die das Covid-Zertifikat korrekt prüfen: Sie scannen den QR-Code vom Handy des Gastes und sehen dann eine grüne oder rote Farbe: gültig oder ungültig.

Es gibt aber auch Kellner, die es lieber schnell mögen: Statt den QR-Code zu scannen, drücken sie auf dem Handy des Gastes den Überprüfungsbutton: Die App zeigt dann dieselben Farben an: Grün für «gültig», rot für «ungültig».

Wie man das Ablaufdatum «verlängern» konnte

Bei dieser zweiten, unsachgemässen Kontrolle des Covid-Zertifikats existiert eine gravierende Sicherheitslücke: Wer ein abgelaufenes Test- oder Genesenenzertifikat hatte, konnte es lange über das Ablaufdatum hinaus gültig erscheinen lassen.

Dafür musste lediglich das Datum auf dem Smartphone geändert werden. Galt das abgelaufene Covid-Zertifikat zur gefälschten Datumseinstellung des Smartphones als gültig, wurde es auch als gültig nach der Überprüfung durch die App angezeigt.

Die «Covid Cert»-App verglich zwar die eindeutige Zertifikatskennung mit einer Liste des Bundes: Dort drauf waren aber nur Zertifikate, die aufgrund eines Tippfehlers oder missbräuchlicher Ausstellung als «zurückgezogen» markiert wurden. Ein abgelaufenes Zertifikat gilt hingegen nicht als «zurückgezogen», womit es in der Aufbewahrungs-App «Covid Cert» nur anhand des Gültigkeitsdatums überprüft wird.

Der Bug liess sich in beide Richtungen «missbrauchen»: Am 19. Oktober wurde dieses Zertifikat wieder gültig.

Der Bug liess sich in beide Richtungen «missbrauchen»: Am 19. Oktober wurde dieses Zertifikat wieder gültig.

watson
Dieses Zertifikat, das am 20. Oktober ungültig wird, konnte schon einen Tag früher als «invalid» getestet werden.

Dieses Zertifikat, das am 20. Oktober ungültig wird, konnte schon einen Tag früher als «invalid» getestet werden.

watson

Schnelle Zertifikatsprüfung ermöglichte Missbrauch

Aufgrund des technischen Aufbaus der Zertifikatsprüfung ist es nicht möglich herauszufinden, wie viele Personen diese Sicherheitslücke missbraucht haben. watson weiss jedoch, dass sich einzelne Covid-Massnahmen-skeptische Personen mit dem Wissen über die Sicherheitslücke gerühmt haben.

Durch diese gravierende Sicherheitslücke konnte eine Betrügerin oder ein Betrüger ein Restaurant, einen Nachtclub oder das Fitnesscenter täuschen, sofern die Türsteherin oder der Kellner zur «schnellen», aber unsachgemässen Methode griff. Bemerken konnte man die Täuschung nur, wenn man sich als Prüferin oder Prüfer das Handy des Gastes genau anschaute: Die «Covid Cert»-App zeigte das Ablaufdatum klein an.

Grün heisst gültig – das Datum unten rechts verrät aber, dass es schon abgelaufen ist.

Grün heisst gültig – das Datum unten rechts verrät aber, dass es schon abgelaufen ist.

watson

Das Bundesamt für Gesundheit (BAG) bewarb zu keinem Zeitpunkt diese «schnelle» Prüfmethode. Die Behörde verwies von Anfang an auf die zweite App namens «Covid Certificate Check», mit der Prüferinnen und Prüfer einen vorgewiesenen QR-Code kontrollieren können. Die Kontroll-Vorgaben beschränkten sich jedoch auf den Abgleich von Vor- und Nachname sowie Geburtsdatum gemäss Identitätskarte oder Pass.

Ein genauer Blick auf das Gültigkeitsdatum war gemäss letztem Stand der BAG-Webseite nicht vorgesehen. Was wohl einige Prüferinnen und Prüfer dazu verleitete, die Zertifikatsprüfung ein­fach­heits­hal­ber mit dem Handy des Gastes vorzunehmen.

Diese «schnelle» und unsachgemässe Prüfung wurde auch in Kenntnis der Behörden so praktiziert. So wurde auf der Entwicklungsplattform zum Schweizer Covid-Zertifikat vor wenigen Tagen darüber diskutiert, dass einzelne Lokalitäten nicht zum «Scan», sondern zur «Selbstprüfung» auf dem Handy des Gastes griffen.

Bund verweist auf offizielle App

watson bot dem zuständigen Bundesamt für Gesundheit (BAG) Zeit zur Beseitigung des Missbrauchspotentials, um Betrügerinnen und Betrügern nicht zur Ausnutzung zu verleiten. Das Bundesamt kommunizierte bislang nicht, bis wann die Manipulationsmöglichkeit behoben wird.

Das BAG teilt auf Anfrage lediglich mit, dass alle Kontrollstellen – also Restaurantbetreiber, Kellner, Türsteherinnen und Co. – die Kontroll-Apps für die Überprüfung von Zertifikaten nutzen müssen. Gemeint sei insbesondere «COVID Certificate Check», die offizielle App des Bundes. «Damit sind Manipulationen nicht möglich. Dies wird auch in der Verordnung Covid-Zertifikate nochmals ausdrücklich vermerkt werden», so die kurze Stellungnahme.

Damit hat das BIT durchaus recht – nur zeigt die Erfahrung der letzten Tage, dass eben nicht alle Kontrollstellen das Zertifikat richtig kontrollieren. Zur Frage, ob der Bund wegen des Missbrauchspotentials deutlicher auf die korrekte Zertifikatsprüfung mittels Scan hinweisen soll, antwortet das Bundesamt für Gesundheit lediglich: «Das BAG hat sowohl die Verbände als auch die Kantone darauf hingewiesen, dass es unzulässig ist, dass Prüfer den Refresh-Butten auf fremden Handys betätigen. Die einzige zulässige Prüfmethode ist die Verwendung der Prüf-App durch die Prüferin oder den Prüfer.»

Aktuelle Nachrichten