Covid-Zertifikats-App
Falsch angezeigte Gültigkeiten: Bund schliesst wichtige Sicherheitslücke

Wer ein iPhone oder Android-Smartphone nutzt, sollte die offiziellen Zertifikate-Apps des Bundes aktualisieren. Das Bundesamt für Gesundheit (BAG) erklärt, was es mit den Updates auf sich hat.

Daniel Schurter / watson.ch
Drucken
Teilen
Die vom Bundesamt für Gesundheit (BAG) herausgegebene Schweizer Zertifikate-App erhält eine Aktualisierung.

Die vom Bundesamt für Gesundheit (BAG) herausgegebene Schweizer Zertifikate-App erhält eine Aktualisierung.

watson/Keystone

Abgelaufene Covid-Zertifikate können bei unsachgemässer Überprüfung auch über das Gültigkeitsdatum hinaus genutzt werden: Dieses Problem wurde im vergangenen Monat publik gemacht und selbstverständlich im Vorfeld die Verantwortlichen beim Bund darauf hingewiesen.

Mit der neusten App-Version (2.8.0) soll die Schwachstelle behoben sein. «Falsch angezeigte Gültigkeiten bei Abweichungen der Systemzeit von der lokalen Zeit korrigiert», schreibt das Bundesamt für Gesundheit (BAG) als Herausgeberin.

Für wen gibt's das Update?

Seit gestern Abend (Montag, 15. November) ist das entsprechende App-Update in Apples App Store (iOS/iPhone) verfügbar. Und auch für Huawei-Smartphones gibt's eine Aktualisierung. Hingegen ist für Android-User im Google Play Store bis dato nur die ältere Version (2.7.0) zu finden, hier scheint das Problem also noch nicht behoben worden zu sein.

Warum dauert das so lange?

Der watson-Bericht zur App-Schwachstelle, die gemäss Recherche von Impfverweigerern ausgenutzt wurde, datiert vom 20. Oktober. Es hat also fast einen Monat gedauert, bis das Problem per Update angegangen wurde.

Auf Anfrage schreib BAG-Sprecher Grégoire Gogniat:

«Solche Anpassungen brauchen Zeit, zumal es sich nicht um die einzige Weiterentwicklung handelt. Neu können zum Beispiel Zertifikate nach einem Antikörpertest ausgestellt werden – auch das musste in den Release eingebaut werden.»

Was ist sonst noch neu bei der Zertifikate-App?

In der Beschreibung zum App-Update (der Version 2.8.0) schreibt das Bundesamt für Gesundheit, es gebe nun einen «Warnhinweis, falls Covid-Cert-App fälschlich zur Massenprüfung von Covid Zertifikaten verwendet wird.»

Dazu erklärt BAG-Sprecher Grégoire Gogniat:

  • «Verwendet ein Prüfer versehentlich die eigene Halter-App für die Prüfung anderer Zertifikate, wird er durch diesen Hinweis darauf aufmerksam gemacht, dass er die Check-App verwenden muss.» Hintergrund: «Es wurde teilweise die Halter-App zur Prüfung verwendet, was dazu führt, dass man fremde Zertifikate in die eigene App importiert. Wenn man mehr als 10 Zertifikate scannt, kommt ein Hinweis, dass man die Prüfer App verwenden soll.»
  • Auch nicht statthaft sei, dass das eigene Handy der zu prüfenden Person verwendet werde (anstatt das Handy des Prüfers). Dies könne technisch ebenfalls nicht verhindert werden – der Geprüfte könne sich aber wehren und verlangen, dass der Prüfer seine Check-App verwende (und nicht das Handy des Geprüften).
  • Technisch nicht mehr möglich sei neu, die Gültigkeit des Zertifikats (z.B. bei einem Test-Zertifikat) zu manipulieren, in dem man die Systemzeit des eigenen Handys verstelle. «Dies wurde mit dem genannten Release korrigiert. (Falsch angezeigte Gültigkeiten bei Abweichungen der Systemzeit von der lokalen Zeit sind korrigiert.)»

Abgesehen davon werden mit dem App-Update (2.8.0) die geänderten «Prüfregeln» in Zusammenhang mit Zertifikaten für Genesene in der Schweiz berücksichtigt: Zertifikate, die auf einem PCR-Test basieren, sind 365 Tage gültig. Zertifikate, die auf einem Antikörper-Test basieren, neu 90 Tage.

Was ist mit der Prüf-App für Schweizer Zertifikate?

Für die offizielle Zertifikate-Überprüfungs-App «COVID Certificate Check» ist ebenfalls ein Update verfügbar, vorerst nur für die iPhone-App und für Huawei-Smartphones.

Hier beschränken sich die Neuerungen gemäss Beschreibung in Apples App-Store auf die geänderten «Prüfregeln» in Zusammenhang mit Zertifikaten für Genesene: Zertifikate, die auf einem PCR-Test basieren, sind 365 Tage gültig. Zertifikate, die auf einem Antikörper-Test basieren, neu 90 Tage.

Aktuelle Nachrichten