Die Telekom hat eine neue COVID-19-App vorgestellt, die ein schnelles Test-Ergebnis liefern soll.
Wir haben die App bereits gestern auf unsere ToDo-Liste für eine mögliche Berichterstattung gesetzt, wollten aber beim wichtigen Thema Corona nicht sofort kritiklos in den Jubel im Netz einstimmen und sind nun froh, dass wir abgewartet haben.
„Ergebnis mitlesen und sogar verfälschen“
Denn schon heute steht die Corona-App unter Beschuss: Die Anwendung, die nach dem Abstrich einen QR-Code ausgibt, der in der „Telekom Healthcare Cloud“ ausgelesen werden soll, hat eine Sicherheitslücke. Diese ermöglicht es laut Recherchen von c’t, dass Hacker „das Ergebnis mitlesen und sogar verfälschen“ können.
Das Problem laut c’t: „Die Übertragung ist zwar verschlüsselt, die App patzt jedoch bei der Überprüfung des SSL-Zertifkats. Ein Angreifer in der Position eines Man-in-the-Middle kann das Testergebnis abrufen und den Patienten sogar ein falsches Ergebnis unterjubeln.“
Eines der weiteren Ergebnisse: „Ruft der Patient das Testergebniss etwa aus dem Netz seines Arbeitgebers ab, kann dieser das Ergebnis ebenfalls einsehen. Ist das Smartphone übers Firmen-VPN verbunden, klappt das sogar im Homeoffice.“
„Katastrophales Zertifikat“ aus 2005
Auch beim Server gibt es laut dem Bericht erhebliche Probleme. Dieser liefere „ein katastrophales Zertifikat“. Dieses soll seit 2015 abgelaufen sein.
Die Telekom hat die Recherche bestätigt. Der Entwickler BS Software arbeite an einer Lösung. User sollten die App bis dahin nicht nutzen, erklärt die Telekom. Eine neue sichere Version sei bereits zu Apple und Google hochgeladen, erklärte BS Software und gab „einen handwerklichen Fehler“ zu. „Wir haben die Applikation sehr kurzfristig entwickelt. Und sind über das selbst gesteckte Ziel hinaus geschossen.“