Schnelltests: Corona-Selbsttests von Aldi mit wertlosen Zertifikaten

Ein Negativ-Nachweis kann über einen QR-Code auf der Packung erstellt werden - auch von Dritten im Laden. Dazu kommt ein Datenleck.

Artikel veröffentlicht am ,
Aesku Rapid Corona-Selbsttest wird bei Aldi Süd im 5er-Pack für 25 Euro verkauft.
Aesku Rapid Corona-Selbsttest wird bei Aldi Süd im 5er-Pack für 25 Euro verkauft. (Bild: Aldi Süd)

Der seit kurzem beim Discounter Aldi erhältliche Corona-Schnelltest Aesku Rapid, soll nicht nur anzeigen, ob man sich mit dem Coronavirus infiziert hat, sondern liefert über ein digitales Zertifikat auch einen Negativ-Nachweis. Dieses kann beispielsweise beim Besuch eines Friseurs oder einer Kulturveranstaltung vorgezeigt werden, wirbt der Anbieter.

Stellenmarkt
  1. IT-Referent (m/w/d)
    BfS Bundesamt für Strahlenschutz, Oberschleißheim
  2. Senior JAVA Software Developer (m/f/d)
    IFCO Management GmbH, München, Gmunden (Österreich)
Detailsuche

Über einen aufgedruckten QR-Code kann sich jedoch jeder schon im Laden Zertifikate ausstellen lassen - ohne den Test überhaupt durchzuführen oder zu kaufen. Das ist allerdings nur eines von mehreren Problemen am Design und der technischen Umsetzung der Negativ-Zertifikate.

Die Werbung auf der Aesku-Rapid-Webseite will wieder "Normalität in den Alltag" bringen. Das ausgestellte Zertifikat könne als "Eintrittskarte" dienen. Um ein solches zu erhalten, muss ein QR-Code auf der Packung gescannt werden, der eine 128 Bit lange ID enthält. Anschließend muss auf der Webseite ichtestemichselbst.de bestätigt werden, dass man den Test durchgeführt hat und er negativ ausgefallen ist - ob das wirklich der Fall ist, wird nicht überprüft.

Das Zertifikat soll "zur Legitimierung in Geschäften für die nächsten sechs Stunden" gelten, heißt es auf der Webseite, wie die Deutsche Apotheker Zeitung berichtet. Man wird aufgefordert, seine Ausweis- oder Führerscheinnummer einzugeben. Anschließend wird eine PDF-Datei generiert, die als Nachweis dienen soll.

Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    6.–10. Dezember 2021, virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    , Virtuell
Weitere IT-Trainings

Über dieses Prozedere kann sich im Prinzip jede Person, die im Laden oder in einem Unboxing-Video auf Youtube den entsprechenden QR-Code scannt, ein Zertifikat ausstellen lassen. Diese sind jedoch auf die Anzahl der Tests in der Packung (Beispielweise 5er oder 20er) beschränkt - die Person, die die Packung kauft, kann unter Umständen entsprechend weniger Zertifikate ausstellen.

Zertifikate auch ohne QR-Code und ein Datenleck

Doch nach einer Recherche des Magazins Ct steckt die 128 Bit lange ID nicht nur im QR-Code, sondern wird neben der Ausweis- oder Führerscheinnummer auch auf jedem ausgestellten Zertifikat angegeben. Es reicht also aus, ein entsprechendes Zertifikat zu sehen, um sich selbst weitere Online-Bescheinigungen aus der gleichen Packung auszustellen zu lassen. Das ist laut Ct bis heute möglich.

Obendrein war es möglich, die ausgestellten Zertifikate von Dritten abzurufen, da die Download-URL als einzige Variable den Zeitpunkt der Erstellung als Unix-Timestamp verwendete. Durch Ausprobieren konnte Ct die fremden Zertifikate abrufen - inklusive personenbezogener Daten, die einige Selbsttester in die Formulare eingetragen hatten, insbesondere die Ausweis- oder Führerscheinnummer. Ein Datenleck.

Zudem verstößt die Aesku Diagnostics GmbH offensichtlich gegen ihr eigenes Datenschutzversprechen: "Die eingegebene Personalausweisnummer oder die Führerscheinnummer werden sofort verschlüsselt und sind nicht mehr reproduzierbar", heißt es auf der Webseite. Doch auf den abrufbaren Zertifikaten waren diese Daten einsehbar - auch auf längst abgelaufenen. Obendrein ließen sich auch hier die IDs auslesen und damit weitere Zertifikate ausstellen.

Ct meldete die Probleme an den Datenschutzbeauftragten Aesku Diagnostics GmbH. Dort wurde der Vorfall als meldepflichtig eingestuft und die Zertifikats-URL mit der ID statt einem Unix-Timestamp als Variable versehen. Die anderen Probleme bleiben jedoch weiterhin bestehen. So müsste für das Problem mit dem QR-Code das Verpackungsdesign geändert werden.

Als Eintrittskarte bleibt der Test jedoch auch ohne die technischen Probleme fragwürdig, setzt er doch einzig auf Angaben der Personen und prüft in keiner Weise, ob der Test negativ ausgefallen oder überhaupt durchgeführt worden ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


renegade334 16. Mär 2021

Hätte ich vielleicht vorgeschlagen, dass sich die Farbe ändert, sobald sich der Test...

thecrew 16. Mär 2021

Wenns der 1000 Posts ist, leider nicht mal mehr witzig.

Michagnom 16. Mär 2021

Jetzt mal von deinem konkreten satirischen Vorschlag abgesehen. Wenns zu einfach ist...

Michagnom 16. Mär 2021

Die Frage ist halt, wann reagiert der Kontrolstrich. Reicht ihm da die mitgelieferte...

Eheran 16. Mär 2021

Was hat das mit IT-Sicherheit zu tun? Es fängt doch damit an, das nicht mal klar ist, ob...



Aktuell auf der Startseite von Golem.de
Razer Zephyr im Test
Gesichtsmaske mit Stil bringt nicht viel

Einmal Cyberpunk mit Beleuchtung bitte: Tragen wir Razers Zephyr in der U-Bahn, fallen wir auf. Allerdings ist das Produkt nicht ausgereift.
Ein Test von Oliver Nickel

Razer Zephyr im Test: Gesichtsmaske mit Stil bringt nicht viel
Artikel
  1. Energiewende: Rohstoffkosten sorgen für Umbruch auf dem Akkumarkt
    Energiewende
    Rohstoffkosten sorgen für Umbruch auf dem Akkumarkt

    Hohe Rohstoffpreise stoppen den Fall der Akkupreise. Neue Rekordpreise bei Lithium werden Akkus 2022 sogar teurer machen.
    Eine Analyse von Frank Wunderlich-Pfeiffer

  2. Zip: Ratenzahlung in Microsoft Edge empört die Community
    Zip
    Ratenzahlung in Microsoft Edge empört die Community

    Die App Zip wird seit Microsoft Edge 96 standardmäßig aktiviert. Diese bietet Ratenzahlung an, schürt aber nur Hass in der Community.

  3. Science-fiction: Bethesda zeigt mehr von Starfield
    Science-fiction
    Bethesda zeigt mehr von Starfield

    Abenteuer im Weltraum mit halbwegs glaubwürdiger Technologie soll Starfield bieten. Jetzt hat Bethesda einen neuen Trailer veröffentlicht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote bei Amazon • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit DDR4-3600 73,99€) • HP 27" FHD 165Hz 199,90€ • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn (u. a. Surface Pro 7+ 849€) • Alternate (u. a. Adata 1TB PCIe-4.0-SSD für 129,90€) [Werbung]
    •  /