Ubirch: Blockchain-Impfausweis mit Schwächen

Golem.de ist es gelungen, auf einer Webseite zur Verifikation von digitalen Impfausweisen unsinnige Daten als gültig anzeigen zu lassen.

Eine Recherche von veröffentlicht am
Braucht es eine Blockchain für Impfausweise? Wir haben da zumindest Zweifel.
Braucht es eine Blockchain für Impfausweise? Wir haben da zumindest Zweifel. (Bild: Toni Lozano/Flickr/Wikimedia Commons/CC-BY 2.0)

Die Firma Ubirch aus Köln will digitale Impfausweise zur Überprüfung von Coronavirus-Impfungen und Testzertifikate anbieten und setzt dafür nach eigenen Angaben auch auf Blockchain-Technologie. Ein Landkreis in Bayern nutzt Berichten zufolge bereits diese Impfausweise. Doch es gibt Zweifel daran, wie sinnvoll die Technologie des Unternehmens ist.

Stellenmarkt
  1. Principal Expert (m/w/d) Digital Work Security
    Atruvia AG, Karlsruhe
  2. Spezialist*in für Monitoring, Evaluierung und Informationssysteme
    GIZ Deutsche Gesellschaft für Internationale Zusammenarbeit GmbH, Eschborn
Detailsuche

Der Impfausweis und die Testzertifikate des Unternehmens zeigen einen QR-Code an. Scannt man den QR-Code ein, wird man auf eine URL des Unternehmens weitergeleitet und erhält dort die Daten angezeigt - sowie eine Info in Grün, wenn die Daten korrekt sind, und in Rot, wenn sie dies nicht sind.

Jeder kann eine grüne Verifikationsmeldung auf einer Webseite anzeigen

Ein offensichtliches Problem ergibt sich daraus bereits: Es ist trivial möglich, QR-Codes zu erzeugen, die auf eine falsche Webseite weiterleiten. Diese kann dann entsprechend auch bei falschen Daten eine grüne Bestätigung anzeigen. Unter impfausweis.net existiert bereits eine entsprechende Beispiel-Webseite, auf der man falsche Impf-QR-Codes erzeugen kann.

Doch in unseren Tests gelang es uns sogar, auf der Webseite des Unternehmens Ubirch selbst - mit gewissen Einschränkungen - eine erfolgreiche Verifizierung mit falschen Daten anzuzeigen. Ubirch stellte auf seiner Webseite einen Beispiel-QR-Code, ausgestellt für Felix Mustermann, bereit. Wir bemerkten, dass man in diese Daten in Spitze Klammern (<, >) weitere Daten einfügen kann, die zwar angezeigt, aber nicht überprüft werden. Vermutlich fand hier eine Filterung von HTML-Tags statt und die Daten wurden erst nach der Filterung geprüft.

Golem Akademie
  1. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    8.–12. November 2021, Virtuell
Weitere IT-Trainings

Somit konnten wir den gültigen QR-Code für Felix Mustermann abändern. Durch Einfügen von Leerzeichen konnten wir somit einen scheinbar gültigen Impfausweis für "<Happy <Hacker" erzeugen - die Anzeige der Spitzklammern am Anfang ließ sich nicht vermeiden. Zwei Beispiele für den Angriff sind im Artikelvideo zu sehen. Wir haben das Problem an Ubirch gemeldet und es ist inzwischen behoben.

Wie bereits erwähnt, behauptet Ubirch, den Impfausweis durch eine Blockchain abzusichern. Auf der Webseite findet man jedoch nicht viele Informationen, was das genau bezwecken soll. Ein Hintergrundpapier oder Ähnliches gibt es nicht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Was macht die Blockchain?

Ubirch teilte uns mit, dass man die Hashes von Signaturen der Impfausweise sowie die öffentlichen Schlüssel in einer Blockchain verankert. "Zudem wird die Blockchain für die Sicherstellung weiterer Merkmale genutzt: Unveränderbarkeit (es wurde ein Zertifikat ausgestellt) und Zeitstempel (zum Beispiel Impfdatum passt zum Datum der Blockchaintransaktion). Öffentliche Blockchains werden dabei vor allem als vertrauenswürdige Zeitstempel-Dienste genutzt", so Ubirch auf Anfrage von Golem.de.

Aus den Verifikationslinks auf der Ubirch-Webseite geht hervor, dass man dort offenbar die Iota-Blockchain-Technologie nutzt. Iota wird von einer Stiftung mit Sitz in Berlin entwickelt und ist durchaus kontrovers. Als ein Forscherteam des MIT 2017 auf Schwächen in der verwendeten Hashfunktion von Iota hinwies, reagierte das Entwicklerteam der Blockchain mit juristischen Drohungen gegen die beteiligten Forscher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


cyroxx 14. Mär 2021

Da die App offenbar nicht öffentlich verfügbar ist, kann man keine Aussage darüber...

ThomasSV 10. Mär 2021

Dafür wird dann ja so eine wachsweiche Technik benutzt, die jedes Kleinkind umgangen...

fhelling 10. Mär 2021

Wir sind nicht effizient, die Chinesen haben einen niedrigeren Ausstoß pro Kopf, obwohl...

Iruwen 05. Feb 2021

Die Blockchain schon (bei IOTA wäre ich auch da nicht allzu sicher), alles was davor...



Aktuell auf der Startseite von Golem.de
Rakuten
"Wir bauen 4. deutsches Netz mit x86-Standard-Hardware"

Billige Hardware soll 1&1 United Internet Kosten sparen. Doch in Japan explodieren bei Rakuten die Ausgaben.

Rakuten: Wir bauen 4. deutsches Netz mit x86-Standard-Hardware
Artikel
  1. Alder Lake: Intel will mit 241 Watt an die Spitze
    Alder Lake
    Intel will mit 241 Watt an die Spitze

    Kurz vor dem Launch zeigt Intel eigene Benchmarks zu Alder Lake, außerdem gibt es Details zur Kühlung und zum Denuvo-DRM.
    Ein Bericht von Marc Sauter

  2. Mäuse, Tastaturen, Headsets: Logitech hat mit Lieferengpässen zu kämpfen
    Mäuse, Tastaturen, Headsets
    Logitech hat mit Lieferengpässen zu kämpfen

    Die große Nachfrage während der Coronapandemie hat Logitech 82 Prozent mehr Umsatz beschert. Allerdings kommt die Lieferung nicht hinterher.

  3. Impfnachweise: Covid-Zertifikat für Adolf Hitler aufgetaucht
    Impfnachweise
    Covid-Zertifikat für Adolf Hitler aufgetaucht

    Im Internet sind gefälschte, aber korrekt signierte QR-Codes mit Covid-Impfnachweisen aufgetaucht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate-Deals (u. a. Asus B550-Plus Mainboard 118€) • Neues Xiaomi 11T 256GB 549,90€ • Ergotron LX Desk Mount Monitorhalterung 124,90€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /