• IT-Karriere:
  • Services:

Schnelltests: Corona-Selbsttests von Aldi mit wertlosen Zertifikaten

Ein Negativ-Nachweis kann über einen QR-Code auf der Packung erstellt werden - auch von Dritten im Laden. Dazu kommt ein Datenleck.

Artikel veröffentlicht am ,
Aesku Rapid Corona-Selbsttest wird bei Aldi Süd im 5er-Pack für 25 Euro verkauft.
Aesku Rapid Corona-Selbsttest wird bei Aldi Süd im 5er-Pack für 25 Euro verkauft. (Bild: Aldi Süd)

Der seit kurzem beim Discounter Aldi erhältliche Corona-Schnelltest Aesku Rapid, soll nicht nur anzeigen, ob man sich mit dem Coronavirus infiziert hat, sondern liefert über ein digitales Zertifikat auch einen Negativ-Nachweis. Dieses kann beispielsweise beim Besuch eines Friseurs oder einer Kulturveranstaltung vorgezeigt werden, wirbt der Anbieter.

Stellenmarkt
  1. Elkamet Kunststofftechnik GmbH, Biedenkopf
  2. dm-drogerie markt GmbH + Co. KG, Karlsruhe

Über einen aufgedruckten QR-Code kann sich jedoch jeder schon im Laden Zertifikate ausstellen lassen - ohne den Test überhaupt durchzuführen oder zu kaufen. Das ist allerdings nur eines von mehreren Problemen am Design und der technischen Umsetzung der Negativ-Zertifikate.

Die Werbung auf der Aesku-Rapid-Webseite will wieder "Normalität in den Alltag" bringen. Das ausgestellte Zertifikat könne als "Eintrittskarte" dienen. Um ein solches zu erhalten, muss ein QR-Code auf der Packung gescannt werden, der eine 128 Bit lange ID enthält. Anschließend muss auf der Webseite ichtestemichselbst.de bestätigt werden, dass man den Test durchgeführt hat und er negativ ausgefallen ist - ob das wirklich der Fall ist, wird nicht überprüft.

Das Zertifikat soll "zur Legitimierung in Geschäften für die nächsten sechs Stunden" gelten, heißt es auf der Webseite, wie die Deutsche Apotheker Zeitung berichtet. Man wird aufgefordert, seine Ausweis- oder Führerscheinnummer einzugeben. Anschließend wird eine PDF-Datei generiert, die als Nachweis dienen soll.

Über dieses Prozedere kann sich im Prinzip jede Person, die im Laden oder in einem Unboxing-Video auf Youtube den entsprechenden QR-Code scannt, ein Zertifikat ausstellen lassen. Diese sind jedoch auf die Anzahl der Tests in der Packung (Beispielweise 5er oder 20er) beschränkt - die Person, die die Packung kauft, kann unter Umständen entsprechend weniger Zertifikate ausstellen.

Zertifikate auch ohne QR-Code und ein Datenleck

Doch nach einer Recherche des Magazins Ct steckt die 128 Bit lange ID nicht nur im QR-Code, sondern wird neben der Ausweis- oder Führerscheinnummer auch auf jedem ausgestellten Zertifikat angegeben. Es reicht also aus, ein entsprechendes Zertifikat zu sehen, um sich selbst weitere Online-Bescheinigungen aus der gleichen Packung auszustellen zu lassen. Das ist laut Ct bis heute möglich.

Obendrein war es möglich, die ausgestellten Zertifikate von Dritten abzurufen, da die Download-URL als einzige Variable den Zeitpunkt der Erstellung als Unix-Timestamp verwendete. Durch Ausprobieren konnte Ct die fremden Zertifikate abrufen - inklusive personenbezogener Daten, die einige Selbsttester in die Formulare eingetragen hatten, insbesondere die Ausweis- oder Führerscheinnummer. Ein Datenleck.

Zudem verstößt die Aesku Diagnostics GmbH offensichtlich gegen ihr eigenes Datenschutzversprechen: "Die eingegebene Personalausweisnummer oder die Führerscheinnummer werden sofort verschlüsselt und sind nicht mehr reproduzierbar", heißt es auf der Webseite. Doch auf den abrufbaren Zertifikaten waren diese Daten einsehbar - auch auf längst abgelaufenen. Obendrein ließen sich auch hier die IDs auslesen und damit weitere Zertifikate ausstellen.

Ct meldete die Probleme an den Datenschutzbeauftragten Aesku Diagnostics GmbH. Dort wurde der Vorfall als meldepflichtig eingestuft und die Zertifikats-URL mit der ID statt einem Unix-Timestamp als Variable versehen. Die anderen Probleme bleiben jedoch weiterhin bestehen. So müsste für das Problem mit dem QR-Code das Verpackungsdesign geändert werden.

Als Eintrittskarte bleibt der Test jedoch auch ohne die technischen Probleme fragwürdig, setzt er doch einzig auf Angaben der Personen und prüft in keiner Weise, ob der Test negativ ausgefallen oder überhaupt durchgeführt worden ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 8,49€
  2. 4,19€

renegade334 16. Mär 2021 / Themenstart

Hätte ich vielleicht vorgeschlagen, dass sich die Farbe ändert, sobald sich der Test...

thecrew 16. Mär 2021 / Themenstart

Wenns der 1000 Posts ist, leider nicht mal mehr witzig.

Michagnom 16. Mär 2021 / Themenstart

Jetzt mal von deinem konkreten satirischen Vorschlag abgesehen. Wenns zu einfach ist...

Michagnom 16. Mär 2021 / Themenstart

Die Frage ist halt, wann reagiert der Kontrolstrich. Reicht ihm da die mitgelieferte...

Eheran 16. Mär 2021 / Themenstart

Was hat das mit IT-Sicherheit zu tun? Es fängt doch damit an, das nicht mal klar ist, ob...

Kommentieren


Folgen Sie uns
       


Gaming auf dem Chromebook ausprobiert

Wir haben uns Spielestreaming und natives Gaming auf dem Chromebook angesehen.

Gaming auf dem Chromebook ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /