• IT-Karriere:
  • Services:

Ubirch: Blockchain-Impfausweis mit Schwächen

Golem.de ist es gelungen, auf einer Webseite zur Verifikation von digitalen Impfausweisen unsinnige Daten als gültig anzeigen zu lassen.

Eine Recherche von veröffentlicht am
Braucht es eine Blockchain für Impfausweise? Wir haben da zumindest Zweifel.
Braucht es eine Blockchain für Impfausweise? Wir haben da zumindest Zweifel. (Bild: Toni Lozano/Flickr/Wikimedia Commons/CC-BY 2.0)

Die Firma Ubirch aus Köln will digitale Impfausweise zur Überprüfung von Coronavirus-Impfungen und Testzertifikate anbieten und setzt dafür nach eigenen Angaben auch auf Blockchain-Technologie. Ein Landkreis in Bayern nutzt Berichten zufolge bereits diese Impfausweise. Doch es gibt Zweifel daran, wie sinnvoll die Technologie des Unternehmens ist.

Stellenmarkt
  1. Fachhochschule Südwestfalen, Hagen, Soest
  2. Knappschaft Kliniken Service GmbH, Bottrop

Der Impfausweis und die Testzertifikate des Unternehmens zeigen einen QR-Code an. Scannt man den QR-Code ein, wird man auf eine URL des Unternehmens weitergeleitet und erhält dort die Daten angezeigt - sowie eine Info in Grün, wenn die Daten korrekt sind, und in Rot, wenn sie dies nicht sind.

Jeder kann eine grüne Verifikationsmeldung auf einer Webseite anzeigen

Ein offensichtliches Problem ergibt sich daraus bereits: Es ist trivial möglich, QR-Codes zu erzeugen, die auf eine falsche Webseite weiterleiten. Diese kann dann entsprechend auch bei falschen Daten eine grüne Bestätigung anzeigen. Unter impfausweis.net existiert bereits eine entsprechende Beispiel-Webseite, auf der man falsche Impf-QR-Codes erzeugen kann.

Doch in unseren Tests gelang es uns sogar, auf der Webseite des Unternehmens Ubirch selbst - mit gewissen Einschränkungen - eine erfolgreiche Verifizierung mit falschen Daten anzuzeigen. Ubirch stellte auf seiner Webseite einen Beispiel-QR-Code, ausgestellt für Felix Mustermann, bereit. Wir bemerkten, dass man in diese Daten in Spitze Klammern (<, >) weitere Daten einfügen kann, die zwar angezeigt, aber nicht überprüft werden. Vermutlich fand hier eine Filterung von HTML-Tags statt und die Daten wurden erst nach der Filterung geprüft.

Somit konnten wir den gültigen QR-Code für Felix Mustermann abändern. Durch Einfügen von Leerzeichen konnten wir somit einen scheinbar gültigen Impfausweis für "<Happy <Hacker" erzeugen - die Anzeige der Spitzklammern am Anfang ließ sich nicht vermeiden. Zwei Beispiele für den Angriff sind im Artikelvideo zu sehen. Wir haben das Problem an Ubirch gemeldet und es ist inzwischen behoben.

Wie bereits erwähnt, behauptet Ubirch, den Impfausweis durch eine Blockchain abzusichern. Auf der Webseite findet man jedoch nicht viele Informationen, was das genau bezwecken soll. Ein Hintergrundpapier oder Ähnliches gibt es nicht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Was macht die Blockchain?

Ubirch teilte uns mit, dass man die Hashes von Signaturen der Impfausweise sowie die öffentlichen Schlüssel in einer Blockchain verankert. "Zudem wird die Blockchain für die Sicherstellung weiterer Merkmale genutzt: Unveränderbarkeit (es wurde ein Zertifikat ausgestellt) und Zeitstempel (zum Beispiel Impfdatum passt zum Datum der Blockchaintransaktion). Öffentliche Blockchains werden dabei vor allem als vertrauenswürdige Zeitstempel-Dienste genutzt", so Ubirch auf Anfrage von Golem.de.

Aus den Verifikationslinks auf der Ubirch-Webseite geht hervor, dass man dort offenbar die Iota-Blockchain-Technologie nutzt. Iota wird von einer Stiftung mit Sitz in Berlin entwickelt und ist durchaus kontrovers. Als ein Forscherteam des MIT 2017 auf Schwächen in der verwendeten Hashfunktion von Iota hinwies, reagierte das Entwicklerteam der Blockchain mit juristischen Drohungen gegen die beteiligten Forscher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Code Vein - Deluxe Edition für 23,99€, Railway Empire - Complete Collection für 23...
  2. 26,99€
  3. 7,99€

Emulex 05. Feb 2021 / Themenstart

Das wird sie von den Gerichten dann schon erklärt bekommen. Aber leider ist es...

Iruwen 05. Feb 2021 / Themenstart

Die Blockchain schon (bei IOTA wäre ich auch da nicht allzu sicher), alles was davor...

lestard 04. Feb 2021 / Themenstart

Es gibt noch keinen Corona-Impfstoff für Kinder. Moderna und AstraZeneca sind ab 18...

MK2021 04. Feb 2021 / Themenstart

Ich verstehe gerade nicht was genau die Aussage dieses Artikels sein soll. Ja logisch...

Kommentieren


Folgen Sie uns
       


Radeon RX 6800 (XT) im Test mit Benchmarks

Lange hatte AMD bei Highend-Grafikkarten nichts zu melden, mit den Radeon RX 6800 (XT) kehrt die Gaming-Konkurrenz zurück.

Radeon RX 6800 (XT) im Test mit Benchmarks Video aufrufen
    •  /