Schnelltests: Corona-Selbsttests von Aldi mit wertlosen Zertifikaten

Ein Negativ-Nachweis kann über einen QR-Code auf der Packung erstellt werden - auch von Dritten im Laden. Dazu kommt ein Datenleck.

Artikel veröffentlicht am ,
Aesku Rapid Corona-Selbsttest wird bei Aldi Süd im 5er-Pack für 25 Euro verkauft.
Aesku Rapid Corona-Selbsttest wird bei Aldi Süd im 5er-Pack für 25 Euro verkauft. (Bild: Aldi Süd)

Der seit kurzem beim Discounter Aldi erhältliche Corona-Schnelltest Aesku Rapid, soll nicht nur anzeigen, ob man sich mit dem Coronavirus infiziert hat, sondern liefert über ein digitales Zertifikat auch einen Negativ-Nachweis. Dieses kann beispielsweise beim Besuch eines Friseurs oder einer Kulturveranstaltung vorgezeigt werden, wirbt der Anbieter.

Stellenmarkt
  1. Software-Entwickler für Logistik-Anwendungen (m/w/d)
    Deichmann SE, Essen
  2. Software Architect (f/m/d)
    NEXPLORE Technology GmbH, Darmstadt, Essen, München
Detailsuche

Über einen aufgedruckten QR-Code kann sich jedoch jeder schon im Laden Zertifikate ausstellen lassen - ohne den Test überhaupt durchzuführen oder zu kaufen. Das ist allerdings nur eines von mehreren Problemen am Design und der technischen Umsetzung der Negativ-Zertifikate.

Die Werbung auf der Aesku-Rapid-Webseite will wieder "Normalität in den Alltag" bringen. Das ausgestellte Zertifikat könne als "Eintrittskarte" dienen. Um ein solches zu erhalten, muss ein QR-Code auf der Packung gescannt werden, der eine 128 Bit lange ID enthält. Anschließend muss auf der Webseite ichtestemichselbst.de bestätigt werden, dass man den Test durchgeführt hat und er negativ ausgefallen ist - ob das wirklich der Fall ist, wird nicht überprüft.

Das Zertifikat soll "zur Legitimierung in Geschäften für die nächsten sechs Stunden" gelten, heißt es auf der Webseite, wie die Deutsche Apotheker Zeitung berichtet. Man wird aufgefordert, seine Ausweis- oder Führerscheinnummer einzugeben. Anschließend wird eine PDF-Datei generiert, die als Nachweis dienen soll.

Golem Karrierewelt
  1. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    20.-23.02.2023, Virtuell
  2. Certified Network Defender (CND): virtueller Fünf-Tage-Workshop
    06.-10.02.2023, Virtuell
Weitere IT-Trainings

Über dieses Prozedere kann sich im Prinzip jede Person, die im Laden oder in einem Unboxing-Video auf Youtube den entsprechenden QR-Code scannt, ein Zertifikat ausstellen lassen. Diese sind jedoch auf die Anzahl der Tests in der Packung (Beispielweise 5er oder 20er) beschränkt - die Person, die die Packung kauft, kann unter Umständen entsprechend weniger Zertifikate ausstellen.

Zertifikate auch ohne QR-Code und ein Datenleck

Doch nach einer Recherche des Magazins Ct steckt die 128 Bit lange ID nicht nur im QR-Code, sondern wird neben der Ausweis- oder Führerscheinnummer auch auf jedem ausgestellten Zertifikat angegeben. Es reicht also aus, ein entsprechendes Zertifikat zu sehen, um sich selbst weitere Online-Bescheinigungen aus der gleichen Packung auszustellen zu lassen. Das ist laut Ct bis heute möglich.

Obendrein war es möglich, die ausgestellten Zertifikate von Dritten abzurufen, da die Download-URL als einzige Variable den Zeitpunkt der Erstellung als Unix-Timestamp verwendete. Durch Ausprobieren konnte Ct die fremden Zertifikate abrufen - inklusive personenbezogener Daten, die einige Selbsttester in die Formulare eingetragen hatten, insbesondere die Ausweis- oder Führerscheinnummer. Ein Datenleck.

Zudem verstößt die Aesku Diagnostics GmbH offensichtlich gegen ihr eigenes Datenschutzversprechen: "Die eingegebene Personalausweisnummer oder die Führerscheinnummer werden sofort verschlüsselt und sind nicht mehr reproduzierbar", heißt es auf der Webseite. Doch auf den abrufbaren Zertifikaten waren diese Daten einsehbar - auch auf längst abgelaufenen. Obendrein ließen sich auch hier die IDs auslesen und damit weitere Zertifikate ausstellen.

Ct meldete die Probleme an den Datenschutzbeauftragten Aesku Diagnostics GmbH. Dort wurde der Vorfall als meldepflichtig eingestuft und die Zertifikats-URL mit der ID statt einem Unix-Timestamp als Variable versehen. Die anderen Probleme bleiben jedoch weiterhin bestehen. So müsste für das Problem mit dem QR-Code das Verpackungsdesign geändert werden.

Als Eintrittskarte bleibt der Test jedoch auch ohne die technischen Probleme fragwürdig, setzt er doch einzig auf Angaben der Personen und prüft in keiner Weise, ob der Test negativ ausgefallen oder überhaupt durchgeführt worden ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


renegade334 16. Mär 2021

Hätte ich vielleicht vorgeschlagen, dass sich die Farbe ändert, sobald sich der Test...

thecrew 16. Mär 2021

Wenns der 1000 Posts ist, leider nicht mal mehr witzig.

Michagnom 16. Mär 2021

Jetzt mal von deinem konkreten satirischen Vorschlag abgesehen. Wenns zu einfach ist...

Michagnom 16. Mär 2021

Die Frage ist halt, wann reagiert der Kontrolstrich. Reicht ihm da die mitgelieferte...



Aktuell auf der Startseite von Golem.de
Metaverse
EU blamiert sich mit interaktiver Onlineparty

Rund 387.000 Euro an Kosten, fünf Besucher auf der Onlineparty: Ein EU-Projekt wollte junge Menschen als Büroklammer tanzen lassen.

Metaverse: EU blamiert sich mit interaktiver Onlineparty
Artikel
  1. Elektromobilität: Hyundai zeigt Elektrosportwagen Ioniq 5 N
    Elektromobilität
    Hyundai zeigt Elektrosportwagen Ioniq 5 N

    Hyundai hat erstmals ein Video mit dem Ioniq 5 N veröffentlicht. Das besonders sportliche Fahrzeug soll die N-Marke beleben.

  2. High Purity in der Produktion: Unter Druck reinigen
    High Purity in der Produktion
    Unter Druck reinigen

    Ob Autos, Elektronik, Medizin oder Halbleiter: Die Reinhaltung bis in den Nanobereich wird immer wichtiger. Das stellt hohe Anforderung an Monitoring und Prozesslenkung.
    Ein Bericht von Detlev Prutz

  3. Patches: Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung
    Patches
    Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung

    Warum nicht gleich so? Für die von Bugs geplagten Computerspiele Pokémon Karmesin/Purpur und The Callisto Protocol gibt es Updates.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis -53% • Mindstar: AMD-Ryzen-CPUs zu Bestpreisen • Alternate: Kingston FURY Beast RGB 32GB DDR5-4800 146,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. SanDisk Ultra microSDXC 512GB 39€ • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /