Lade Inhalte...

Chronik

QR-Code leicht zu fälschen: Sicherheitsmängel bei Grünem Pass

Von nachrichten.at/apa/rom   19. Juli 2021 10:57 Uhr

(Symbolbild)

WIEN. Drei Studenten der Fachhochschule Hagenberg haben Sicherheitsmängel bei der App des Bundesrechenzentrums (BRZ) zur Speicherung des Grünen Passes festgestellt.

Demnach haben die Studenten herausgefunden, dass sich der QR-Code relativ leicht fälschen lasse. Das bestätigt Jakob Stadlhuber, Student der FH Hagenberg, im Gespräch mit den OÖNachrichten. Grundsätzlich sei es gut, dass es so eine App gebe, aber das Problem sei offensichtlich. Das Gesundheitsministerium kündigt eine Behebung mit dem nächsten Update an.

Auf der App können Getestete, Geimpfte und Genesene ihre Zertifikate speichern. Dafür muss man den QR-Code einscannen, der auf dem offiziellen Dokument über die Webseite gesundheit.gv.at heruntergeladen wird. Die App zeigt dann entweder den QR-Code an, damit er bei Kontrollen gescannt werden kann. Alternativ listet sie die enthaltenen Informationen auf, etwa wann man mit welchem Vakzin geimpft wurde.

Richtigkeit des Zertifikats wird nicht überprüft

Die Studenten haben nun bei der Entwicklung einer ähnlichen App festgestellt, dass zu keinem Zeitpunkt geprüft werde, ob der QR-Code der offiziellen Anwendung tatsächlich gültig ist. Aus dem Bundesrechenzentrum heißt es auf OÖN-Anfrage, man wisse über die Diskussion Bescheid. Es liege jedoch nicht in der Verantwortung des BRZ, ob der Grüne Pass auch kontrolliert werde. Die Überprüfung des Codes erfolge erst durch den Scan mit der zweiten App, Green Check, vor Ort durch das Personal in Restaurants, beim Friseur oder auf Reisen. 

In der Theorie finde diese Überprüfung im Alltag allerdings nicht immer statt, und es würden nur die angezeigten Informationen durchgelesen. Damit werde nicht überprüft, ob jemand tatsächlich auch sein eigenes Impfzertifikat verwendet, theoretisch wäre es damit auch möglich, dass Ungeimpfte eine Impfung vortäuschen.

In Deutschland validiert etwa die App des Robert-Koch-Instituts direkt beim Hinzufügen des Zertifikats, ob der QR-Code überhaupt gültig ist. Falls nicht, kann es gar nicht in der App gespeichert werden. Auch die Schweizer App prüft die Gültigkeit unmittelbar.

Video:

Demnächst Update verfügbar

Die österreichische App basiert auf dieser Open Source Anwendung, die das Schweizer Bundesamt für Informatik und Telekommunikation (BIT) entwickelt hat. Daher ist die Prüf-Funktion im verwendeten Quellcode zumindest vorgesehen. Nach den Recherchen der Studierenden der FH Hagenberg ist an dieser Stelle bei der österreichischen App nur eine To-Do-Liste hinterlegt. So lasse sich relativ leicht ein QR-Code fälschen, der zwar von der App als EU-konform gelesen wird, aber beliebige Informationen enthält.

Das BRZ verwies darauf, dass es strafbar sei, das Dokument zu fälschen. Das Gesundheitsministerium kündigte auf OÖN-Anfrage an, dass das Problem demnächst mit einem Update behoben werden soll. Es sei jedoch von Anfang an so vorgesehen gewesen, dass die Überprüfung des QR-Codes mit einer zweiten App "zu verschränken" sei. Künftig soll das mit einer App funktionieren, Wann das Update konkret auf den Markt kommen soll, steht aber noch nicht fest. Bisher wurde die App des Gesundheitsministeriums mehr als eine Million Mal auf Smartphones in Österreich installiert.

Lädt
turned_in

info Mit dem Klick auf das Icon fügen Sie das Schlagwort zu Ihren Themen hinzu.

turned_in

info Mit dem Klick auf das Icon öffnen Sie Ihre "meine Themen" Seite. Sie haben von 15 Schlagworten gespeichert und müssten Schlagworte entfernen.

turned_in

info Mit dem Klick auf das Icon entfernen Sie das Schlagwort aus Ihren Themen.

turned_in

Fügen Sie das Thema zu Ihren Themen hinzu.

mehr aus Chronik

42  Kommentare expand_more 42  Kommentare expand_less