Widerruf Benko

Leicht fälschbar

Sicherheitsmängel bei »Grüner Pass«-App

Studenten der FH Hagenberg haben Sicherheitsmängel bei der App des Bundesrechenzentrums (BRZ) zur Speicherung des Grünen Passes festgestellt. Demnach lasse sich der QR-Code leicht fälschen.

Wien, 20. Juli 2021 | Wie das “Kurier”-Onlinemedium “futurezone.at” berichtet hatte, haben die Studenten herausgefunden, dass sich der QR-Code relativ leicht fälschen lasse. Auf der App können Getestete, Geimpfte und Genesene ihre Zertifikate speichern. Dafür muss man den QR-Code einscannen, der auf dem offiziellen Dokument über die Webseite gesundheit.gv.at heruntergeladen wird. Die App zeigt dann entweder den QR-Code an, damit er bei Kontrollen gescannt werden kann. Alternativ listet sie die enthaltenen Informationen auf, etwa wann man mit welchem Vakzin geimpft wurde.

Richtigkeit des QR-Codes wird nicht geprüft

Die Studenten haben nun festgestellt, dass zu keinem Zeitpunkt geprüft werde, ob der QR-Code tatsächlich gültig ist. Auch ein Sprecher des BRZ habe gegenüber “futurezone” bestätigt, dass die Richtigkeit des Zertifikats nicht überprüft werde. Die Überprüfung des Codes erfolge erst durch den Scan mit der zweiten App, Green Check, vor Ort durch das Personal in Restaurants, beim Friseur oder auf Reisen. Allerdings finde diese Überprüfung im Alltag nicht immer statt und es werden lediglich die angezeigten Informationen durchgelesen. Damit werde nicht überprüft, ob jemand tatsächlich auch sein eigenes Impfzertifikat verwendet, theoretisch wäre es damit auch möglich, dass Ungeimpfte eine Impfung vortäuschen.

In Deutschland validiert etwa die App des RKI direkt beim Hinzufügen des Zertifikats, ob der QR-Code überhaupt gültig ist. Falls nicht, kann es gar nicht in der App gespeichert werden. Auch die Schweizer App prüft die Gültigkeit unmittelbar. Die österreichische App basiert auf dieser Open Source Anwendung, die das Schweizer Bundesamt für Informatik und Telekommunikation (BIT) entwickelt hat. Daher ist die Prüf-Funktion im verwendeten Quellcode zumindest vorgesehen. Nach den Recherchen der Studierenden der FH Hagenberg ist an dieser Stelle bei der österreichischen App aber nur eine To-Do-Liste hinterlegt. So lasse sich relativ leicht ein QR-Code fälschen, der zwar von der App als EU-konform gelesen wird, aber beliebige Informationen enthält.

Das BRZ verwies gegen futurezone darauf, dass es strafbar sei, das Dokument zu fälschen. Außerdem liege es nicht in der Verantwortung des BZR, ob der Grüne Pass auch kontrolliert werde. Das Gesundheitsministerium kündigte gegenüber dem Ö1-“Morgenjournal” an, dass der Mangel in einigen Tagen mit dem nächsten Update behoben werden soll.

(red/apa)

Titelbild: APA Picturedesk

Lesen Sie auch

26 Kommentare
Inline Feedbacks
Zeige alle Kommentare
Sinclai
20. 07. 2021 13:52

Wollt ihre die totale Überwachung….? Also manche Sachen sollten besser nicht funktionieren. Bei aller Lust an der Technik….

Samui
20. 07. 2021 13:00

Ich sag nur: Kaufhaus Österreich……
Wie bescheuert ist unsere Regierung wirklich?

schinkenfleckerl3000
20. 07. 2021 14:06
Antworte auf  Samui

auf kö erhelten unternehmen jetzt beratung zum aufbau ihrer web-präsenz. kein scherz
steht unter der rubrik “kompetenz”. kein scherz

Zuletzt bearbeitet 1 Jahr zuvor von schinkenfleckerl3000
Samui
20. 07. 2021 14:14
Antworte auf  schinkenfleckerl3000

Unglaublich…

schinkenfleckerl3000
20. 07. 2021 14:22
Antworte auf  Samui

dachte ich mir auch. “erfolgsgeschichten” ist auch super. kö behauptet zwar nicht zum erfolg dieser unternehmen beigetragen zu haben. die aufmachung wirkt aber wie eine klassische referenzseite auf der man partner und kunden anführt

nikita
20. 07. 2021 13:07
Antworte auf  Samui

Wozu die Frage 😂😂😂

Samui
20. 07. 2021 13:16
Antworte auf  nikita

Stimmt👍😃

Gustav Gans
20. 07. 2021 12:55

Frage an das BZR: welches DOKUMENT?

Prokrastinator
20. 07. 2021 12:13

Iwo.
Die Bundes-Informatiker sind top, haben sie ja schon bei Kaufhaus Österreich bewiesen. Da werden sogar die Internet-Erfinder vom CERN neidisch auf unsere IT-Experten!

schinkenfleckerl3000
20. 07. 2021 14:01
Antworte auf  Prokrastinator

man muss aber schon verstehn dass das ja keine einfache internetseite ist, sondern so eine datenbank hinten dran hat. und auch wenn die (gut am unteren ende der seite platzierte) suchfunktion nicht funktioniert, kann man dort doch ganz gut bummeln.
war grad wieder auf der seite, das projekt ist eh schon begraben worden. dafür gibts jetzt die rubrik “erfolgsgeschichten”. markta.at möchte ich an dieser stelle sehr empfehlen!

KarinLindorfer
20. 07. 2021 11:47

Könnte es sein, das man in der gestrigen ZiB gezeigt hat wie man sich seinen eigenen “grünen Pass” zusammenbastelt? Und was ist den jetzt eigentlich mit einem normalen Impfpass in Papierform von Leuten die kein Smartphone haben? Oder wird das jetzt in nächster Zeit auch noch Pflicht wenn man sich in der Öffentlichkeit bewegen will?

Samui
20. 07. 2021 13:00
Antworte auf  KarinLindorfer

Der Impfpass in Papierform scheint sicher zu sein.
Zumindest im Moment….

nikita
20. 07. 2021 13:09
Antworte auf  Samui

Ist ein Trugschluss!
Jeder hat einen QR-Code, hängt an Elga dran.

Samui
20. 07. 2021 13:19
Antworte auf  nikita

Ja, aber dein eigener Code, der stimmt.
Geht ja um Verweigerer, die sich, lieber ungesetzlich einen Code aneignen bevor Sie sich impfen lassen.
Frage: Wenn ich die Impfung verweigere ,warum erschleiche ich mir dann einen Impfpass und stehe nicht dazu?

ManFromEarth
20. 07. 2021 17:16
Antworte auf  Samui

…. warum geht einer in ein Geschäft und bezahlt nicht…., trotz Geld in der Tasche?

nikita
20. 07. 2021 13:55
Antworte auf  Samui

1. Mein Code kann jederzeit gehackt werden.
2. Die Verweigerer verstehe ich sowieso nicht. In solche Gehirne bin ich noch nicht vorgedrungen 🙈 Glück gehabt.😉
Ich verwende aber auch nur den analogen, althergebrachten, mit Eselsohren versehenen Impfpass.

Zuletzt bearbeitet 1 Jahr zuvor von nikita
Samui
20. 07. 2021 13:59
Antworte auf  nikita

Ja den nütze ich auch

Nordicman
20. 07. 2021 11:43

Was für eine Überraschung

ManFromEarth
20. 07. 2021 12:35
Antworte auf  Nordicman

…. nicht wirklich, man kann sich die Sourcecodes auf Git anschauen, das haben auch einige gemacht, deswegen ist klar dass die Prüfung erst beim Ablesen passiert, nicht bei der Eingabe.
Außerdem weis die Schramböck nicht was das Internet ausmacht, wie soll sie da Codes verstehen….!?

Samui
20. 07. 2021 13:04
Antworte auf  ManFromEarth

Was weiß Schramböck überhaupt?
Welche fachlichen Kompetenzen haben Nehammer… Köstinger… Raab…. Edstadler… Tanner?
Vom Blumerl ganz zu schweigen.
Die Sprechpuppe an der Spitze wird von MeiMei und Fleischmann an der Leine
geführt.
Oh Du mein Österreich

ManFromEarth
20. 07. 2021 17:10
Antworte auf  Samui

… sie waren mit Kurz auf der selben “Uni”, das reicht doch, oder nicht!?

nikita
20. 07. 2021 12:51
Antworte auf  ManFromEarth

😂 Elga ist ja auch so sicher 🙈
Aber wir haben sowieso nichts zu verbergen.

ManFromEarth
20. 07. 2021 17:12
Antworte auf  nikita

ELGA kann man bei bedarf aussetzen, das erspart denen viele Daten….😉

Samui
20. 07. 2021 13:41
Antworte auf  nikita

Wir sind doch sowieso gläsern. Jeder der ein Smartphone, Bankomatkarte, Kreditkarte benützt.
Jeder der hier angemeldet ist. Egal mit welchen E- Mail Addis.
Es ist einfach so. Obs gut ist, ist eine andere Frage.

nikita
20. 07. 2021 14:01
Antworte auf  Samui

Es ist nicht gut, aber wir haben ja sonst nixxx🤣

Samui
20. 07. 2021 14:15
Antworte auf  nikita

👍🍻