Coronavirus: Covid-19-App der Telekom prüft Zertifikate nicht

Bei der Entwicklung einer App, mit der Patienten ihre Covid-19-Testergebnisse abrufen können, wurde wenig Wert auf Sicherheit gelegt.

Artikel veröffentlicht am ,
Eine App soll das Mitteilen von Covid-19-Testergebnissen erleichtern. Leider gibt es dabei ein Sicherheitsproblem.
Eine App soll das Mitteilen von Covid-19-Testergebnissen erleichtern. Leider gibt es dabei ein Sicherheitsproblem. (Bild: Covid-19-App-Logo / BS-SD)

Die von der Deutschen Telekom und der Firma BS Software Development bereitgestellte App, mit der Resultate von Covid-19-Tests kommuniziert werden, prüft bei der Verbindung zum Server das Zertifikat nicht. Damit können Angreifer die Daten mitlesen. Berichtet hatte das die Zeitschrift c't, deren Leser Nicolas Thumann hatte das Problem entdeckt.

Stellenmarkt
  1. Einkäuferin / Einkäufer (w/m/d) für den Bereich Zentrale Beschaffung und IT-Vertragsmanagement
    Bau- und Liegenschaftsbetrieb NRW, Düsseldorf
  2. IT-Mitarbeiter (m/w/d) mit Schwerpunkt Informationssicherheit und Einführung TISAX/ISO 27001
    F. E. R. fischer Edelstahlrohre GmbH, Achern-Fautenbach
Detailsuche

In der App gibt man als Nutzer entweder manuell oder durch Scannen eines QR-Codes eine Kennung ein, anschließend wird eine Verbindung zum Server aufgebaut. Diese Verbindung erfolgt mittels HTTPS, dabei wird allerdings das Zertifikat nicht geprüft. Laut c't war auf dem Server zum Zeitpunkt ihres Tests ein bereits mehrere Jahre abgelaufenes Zertifikat installiert.

Beliebiges Zertifikat wird akzeptiert

Wir konnten in einem Test das Verhalten der App nachvollziehen. Wenn man sich mit einem Tool, das den Datenverkehr von Android-Apps mitliest, in die Verbindung einklinkt und dabei ein selbstsigniertes Zertifikat verwendet, wird die Verbindung trotzdem aufgebaut. Das veraltete Serverzertifikat fanden wir nicht mehr, inzwischen nutzt der Server ein gültiges Zertifikat von Let's Encrypt.

Die fehlende Zertifikatsprüfung führt dazu, dass ein Angreifer im selben Netzwerk oder auf einem System zwischen dem Nutzer und dem Server den Datenverkehr mittels eines Man-in-the-Middle-Angriffs mitlesen. Mit Hilfe der abgefangenen Testkennung, die mittels HTTPS übertragen wird, kann der Angreifer dann das Testergebnis selbst abfragen. Weitergehende Persönliche Daten wie etwa der Name des Patienten werden nicht übertragen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Laut c't hat die Firma BS Software Development angekündigt, in Kürze eine aktualisierte Version der App zu veröffentlichen. Auf der Webseite der App finden sich bislang keine Hinweise zu den Sicherheitsproblemen.

"Zugriffsverletzung bei Adresse 000000000040EA25"

Als wir in unseren Tests mit einer ungültigen Beispielkennung, die auf einem Bild des App-Herstellers zu finden ist, ein Testergebnis abrufen wollten, zeigte sich ein weiterer Fehler. Statt einer Antwort erhielten wir eine Fehlermeldung, die vom Server stammte: "Zugriffsverletzung bei Adresse 000000000040EA25 in Modul 'QC_ServiceCom.exe'. Lesen von Adresse FFFFFFFFFFFFFFFF" - an dieser Stelle bricht die Meldung unvollständig ab.

Die Meldung deutet darauf hin, dass die Software auf dem Server abstürzt und dabei einen fehlerhaften Speicherzugriff verursacht. Möglicherweise handelt es sich um eine weitere Sicherheitslücke. Dass dem Angreifer hier die genaue Speicheradresse des Fehlers mitteilt, könnte Angriffe sogar erleichtern.

Nachtrag vom 1. April 2020, 18:36 Uhr

Ursprünglich hatten wir geschrieben, dass eine Manipulation der übertragenen Daten möglich ist. Der Geschäftsführer der Firma BS Software Development, Jürgen Bucher, hat uns dazu folgendes geschrieben: "Die gesamte Kommunikationskette ist End-2-End verschlüsselt. Es ist daher auch durch eine Man-in-the-Middle-Attacke nicht möglich, Daten einzusehen oder gar zu manipulieren."

Das war für uns allerdings nicht nachvollziehbar. Da die Testkennung über reines HTTPS ohne Zertifikatsprüfung übertragen wird kann ein Angreifer diese Kennung abfangen und dann selbst das Ergebnis abfragen. Eine Manipulation der Daten wird dadurch aber möglicherweise verhindert, daher haben wir den Text entsprechend angepasst.

Die Telekom bat uns zudem, darauf hinzuweisen, dass die App vollständig von der Firma BS Software Development entwickelt wurde, die Telekom hat als Cloud-Partner die entsprechende Serverinfrastruktur bereitgestellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
PC-Hardware
Grafikkarten werden günstiger und besser verfügbar

Die Preise für Grafikkarten sind zuletzt gesunken, es gibt mehr Pixelbeschleuniger auf Lager. Das hat mehrere Gründe.

PC-Hardware: Grafikkarten werden günstiger und besser verfügbar
Artikel
  1. Sea of Thieves: Rund zehn Stunden Abenteuer unter der Piratenflagge
    Sea of Thieves
    Rund zehn Stunden Abenteuer unter der Piratenflagge

    Die solo spielbare Kampagne Sea of Thieves: A Pirate's Life schickt Freibeuter in den Fluch der Karibik mit Jack Sparrow und Davy Jones.
    Von Peter Steinlechner

  2. Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
    Razer Blade 14 im Test
    Der dreifach einzigartige Ryzen-Laptop

    Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
    Ein Test von Marc Sauter

  3. Bundesdruckerei: Pilotbetrieb für digitale Schulzeugnisse gestartet
    Bundesdruckerei
    Pilotbetrieb für digitale Schulzeugnisse gestartet

    Das digitale Schulzeugnis soll vieles einfacher und sicherer machen, zunächst gehen drei Bundesländer mit IT-Experten in die Erprobung.

TW1920 05. Apr 2020

Auch wenn in kurzer Zeit: Ein aktuelles Zertifikat bereit zu stellen ist jetzt keine...

/lib/modules 02. Apr 2020

Joa, dafür spricht auch der Server Identifier: DatasnapHTTPService/2011 Das ist von...

946ben 01. Apr 2020

"Die Telekom bat uns zudem, darauf hinzuweisen, dass die App vollständig von der Firma BS...

hab (Golem.de) 01. Apr 2020

Der server lauscht nicht auf port 80. (Was in dem Fall auch kein Problem ist da das ja...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Creative SB Z 69,99€ • SanDisk microSDXC 400 GB 39€ • Battlefield 4 Premium PC Code 7,49€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals [Werbung]
    •  /