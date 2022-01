Coronavirus Zertifikats-App: Bund braucht mehrere Monate, um riskante Schwachstelle zu beheben Bei der Schweizer Covid-Zertifikats-App ist die Benutzeroberfläche angepasst worden. Es ist eine kleine Änderung mit langer Vorgeschichte. Daniel Schurter/watson.ch 18.01.2022, 14.04 Uhr

Die vom Bundesamt für Gesundheit (BAG) herausgegebene Zertifikate-App und die dazugehörige Prüf-App sind wichtige Werkzeuge im Kampf gegen die Corona-Pandemie. Doch bei der Verbesserung dieser Technik harzte es.

Wenige Monate nach der Lancierung gab es Hinweise, dass eine in die Zertifikats-App integrierte Funktion fälschlicherweise genutzt wird, um fremde QR-Codes zu kontrollieren. Doch die Warnungen unabhängiger IT-Fachleute blieben scheinbar ungehört. Es dauerte fast ein Vierteljahr, bis die riskante Schwachstelle im Zertifikate-System behoben wurde. Nun nimmt das BAG Stellung.

Was ist passiert?

Im Oktober 2021 wies watson auf die Problematik der unsachgemässen Überprüfung von Zertifikaten hin. Statt den QR-Code mit der offiziellen Zertifikate-Prüf-App des Bundes zu scannen, nahmen bequeme Kontrolleure das Handy der Gäste und drückten den Aktualisieren-Button: Die App zeigt daraufhin grün für «gültig» an, rot für «ungültig». Das schuf ein erhebliches Missbrauchspotential.

Damit sollte nun endlich Schluss sein. Das neuste App-Update lässt den Refresh-Button unten rechts verschwinden. Stattdessen prangt dort vorläufig ein «i» in einem Kreis.

Ein BAG-Sprecher erklärte gegenüber watson, dass der Button innert zwei Wochen ganz verschwinde. watson

Wenn man auf das «i» tippt, erscheint der Hinweis, dass die Prüfung von Zertifikaten mit der entsprechenden Prüf-App («COVID Certificate Check») vorzunehmen sei.

Nach dem jüngsten App-Update müssen Zertifikats-Kontrolleure zur separaten Prüf-App greifen, um herauszufinden, ob ein vorgewiesenes Zertifikat gültig ist. watson

Seit wann ist das Problem bekannt?

Die Schweizer Covid-Zertifikate-App und die dazugehörige Prüf-App wurden bekanntlich im Juni 2021 lanciert. Fachleute des Bundes und der privaten App-Entwicklerfirma Ubique arbeiten seither gemeinsam am Projekt und nutzen dafür die bekannte Software-Entwicklungs-Plattform GitHub.

Dort, bei Github, ist der gesamte Programmcode öffentlich einsehbar – es ist ja ein Open-Source-Projekt – und er kann von Interessierten heruntergeladen werden. Und dort tauschen sich auch unabhängige IT-Fachleute und interessierte Dritte über das Projekt und die Sicherheit aus.

Schwachstelle in der Aktualisierungsfunktion

Im September 2021 warnte ein User in einem öffentlich einsehbaren Posting, dass die Aktualisierungsfunktion eine Schwachstelle im Zertifikate-System darstelle. Seine Begründung: Die bei Github verfügbaren Softwarekomponenten (das sogenannte «Repository») könnten verwendet werden, um eine gefälschte Zertifikate-App zu erstellen und diese (auf einem Android-Smartphone) zu installieren.

Bei einer unsorgfältigen Überprüfung könnte man so ein vermeintlich gültiges Zertifikat vortäuschen: «Restaurants, Fitnesscenter usw. nutzen das grüne Häkchen nach der Aktualisierung, um der Gültigkeit des Zertifikats zu vertrauen, anstatt den QR-Code zu scannen. Dies ist jedoch unsicher: Jeder ‹Schwurbler› kann dieses Repository einfach klonen und die App leicht modifizieren, damit sie immer ein grünes Häkchen anzeigt, unabhängig davon, was im QR-Code angezeigt wird, und einen ansonsten verbotenen Bereich betreten.»

Schaltfläche zur Selbstverifizierung

Daraufhin passierte – augenscheinlich nichts. Im Oktober warnte ein anderer Github-User: «In letzter Zeit verwenden immer mehr Leute nicht die Scanner-App, sondern die Schaltfläche zur Selbstverifizierung, um mein Zertifikat zu kontrollieren. Das erscheint mir aber nicht richtig. Ich meine, jemand könnte den Code hier verwenden, die Verifizierung entfernen und hätte dann ein ‹gültiges› Zertifikat.»

Nun reagierten die Verantwortlichen. Zumindest lassen bei Github einsehbare Antworten darauf schliessen. Das Problem war erkannt, doch wieder passierte – nichts.

Erneut verstrich ein Monat, in der bequeme Türsteher und andere Kontrolleure nur den Refresh-Button betätigten. Sprich: Eine unbekannte Zahl von Zertifikaten wurde nicht so kontrolliert, wie es der Bund verlangt und vorschreibt.

Aufpoppendes Fenster

Im November präsentierte ein weiterer Github-User, auch er ein unabhängiger IT-Spezialist, eine eigene Lösung. Dieser Vorschlag kam der nun realisierten Verbesserung schon sehr nah: Wer in der Zertifikate-App den Aktualisieren-Button betätigte, sollte in einem aufpoppenden Fenster darauf hingewiesen werden, stattdessen die Prüf-App zu verwenden.

screenshot: github.com

Wieder gab es keine öffentlich einsehbare Reaktion seitens der beim Bund zuständigen Fachleute. Daraufhin platzte dem Github-User, der sich schon früh in die Diskussion eingebracht hatte, der Kragen.

Am 19. November kritisierte er: «Es ist jetzt zwei Monate her, dass ich das iOS-Problem eröffnet habe, und wir müssen davon ausgehen, dass dies absichtlich nicht behandelt wird. Die einzige Möglichkeit, etwas zu bewegen, wäre wahrscheinlich, eine App zu entwickeln, die ungültige QR-Codes für Micky Maus usw. erstellt und ein grünes animiertes Häkchen anzeigt.»

Interessantes Detail: Offenbar gab es in Deutschland mit der dortigen Corona-Warn-App ähnliche Probleme. Dazu muss man wissen, dass dort die Zertifikatsverwaltung im Gegensatz zur Schweiz in die Warn-App integriert ist.

Der Blick in die deutsche Corona-Warn-App zeigt, dass Kontrolleure aufgefordert werden, die separat verfügbare Prüf-App (auf ihrem Smartphone) zu verwenden. watson

Öffentlicher Druck auf den Bund

Damit zurück in die Schweiz, wo sich im Dezember bei Github die Situation zuspitzte. Ein engagierter User schlug vor, dem BAG, bzw. der für die App-Entwicklung zuständigen Firma ein Ultimatum bis am 20. Januar zu stellen. Sollte der Aktualisieren-Button in der Zertifikate-App nicht entschärft werden, demonstriere man die Gefährlichkeit der Schwachstelle mit einer Beispielsoftware («Proof of Concept») und erhöhe damit den öffentlichen Druck auf den Bund.

screenshot: github.com

Nun endlich stellten die Projekt-Verantwortlichen in Aussicht, dass sie das Problem ernsthaft angehen wollen. «Wir sind uns der Probleme bewusst, die ihr im Zusammenhang mit der Aktualisierungsschaltfläche angesprochen habt. Derzeit werden mögliche Lösungen geprüft. Wir werden euch rechtzeitig auf dem Laufenden halten.»

Anfang Januar wies ein Github-User darauf hin, dass die Entwickler an der iOS-Version der Zertifikats-App arbeiteten. Und ein Projektverantwortlicher bestätigte, dass die Anpassungen «in den nächsten Wochen» ausgeliefert würden. Fragt sich, warum hat die aus Laiensicht kleine Anpassung der Benutzeroberfläche dermassen lange gedauert?

Was sagt das BAG?

watson hat am Dienstag beim Bundesamt für Gesundheit – als Herausgeberin der App – nachgefragt. In Apples App Store (iOS) heisst es im Beschrieb zum Update (3.2.0): «Ab dem 17.1.2022 wird zunächst übergangsweise ein Info-Button erscheinen.» Was ist damit gemeint? Dazu BAG-Sprecher Grégoire Gogniat:

«Der Info-Button weist den Halter bzw. die Halterin abhängig vom Zeitpunkt des ersten Gebrauchs nach dem Update der ‹COVID Certificate-App› auf die neuste Version während zwei Wochen darauf hin, dass der ‹Refresh-Button› deaktiviert wurde. Der Hinweis bleibt jeweils für 2 Wochen bestehen. Danach wird auch der Info-Button nicht mehr erscheinen.»

Auf die Frage, warum es dermassen lange dauerte, bis das Problem nun behoben wurde, heisst es: «Die Herausforderungen in Zusammenhang mit dem Refresh-Button sind dem Projektteam bereits seit längerem und unabhängig von der Diskussion auf Github bekannt. Die epidemiologische Entwicklung in den letzten Monaten hat wiederholt (teilweise sehr kurzfristig) Anpassungen im Covid-Zertifikat benötigt. Entsprechend wurden die Release-Inhalte priorisiert.»

Gemäss Darstellung des Bundes hatten die App-Entwickler also nicht früher Zeit, die Anpassung vorzunehmen.

App aktualisieren

Auf der BAG-Webseite zur Zertifikate-App werden Besucherinnen und Besucher nun eindringlich ermahnt: «Wichtig: Nutzen Sie konsequent die ‹COVID Certificate›-Check-App zur Prüfung des QR-Codes. Nur so kann garantiert werden, dass das präsentierte Zertifikat und die darin enthaltenen Angaben echt sind und nicht manipuliert wurden. Ein manuelles Scrollen, oder das Prüfen auf Sicht in der Halter-App ist nicht zugelassen.»

Es ist zu befürchten, dass in der Bevölkerung beträchtliche Verwirrung oder Unkenntnis herrscht, was das korrekte Überprüfen der Zertifikate betrifft. Darum sei an dieser Stelle empfohlen, wenn nötig die App zu aktualisieren. Und es sei auch nochmal auf die BAG-Anweisungen verwiesen:

Um sicherzustellen, dass ein präsentierter QR-Code tatsächlich zur vorweisenden Person gehöre, müsse (etwa bei Eingangskontrollen) überprüft werden, dass Name, Vorname und Geburtsdatum auf dem Covid-Zertifikat und dem amtlichen Ausweisdokument übereinstimmen. Und vor allem sollte auch das Passfoto zur Person mit dem Zertifikat passen.