Leicht fälschbar

Sicherheitsmängel bei »Grüner Pass«-App

Studenten der FH Hagenberg haben Sicherheitsmängel bei der App des Bundesrechenzentrums (BRZ) zur Speicherung des Grünen Passes festgestellt. Demnach lasse sich der QR-Code leicht fälschen.

Wien, 20. Juli 2021 | Wie das “Kurier”-Onlinemedium “futurezone.at” berichtet hatte, haben die Studenten herausgefunden, dass sich der QR-Code relativ leicht fälschen lasse. Auf der App können Getestete, Geimpfte und Genesene ihre Zertifikate speichern. Dafür muss man den QR-Code einscannen, der auf dem offiziellen Dokument über die Webseite gesundheit.gv.at heruntergeladen wird. Die App zeigt dann entweder den QR-Code an, damit er bei Kontrollen gescannt werden kann. Alternativ listet sie die enthaltenen Informationen auf, etwa wann man mit welchem Vakzin geimpft wurde.

Richtigkeit des QR-Codes wird nicht geprüft

Die Studenten haben nun festgestellt, dass zu keinem Zeitpunkt geprüft werde, ob der QR-Code tatsächlich gültig ist. Auch ein Sprecher des BRZ habe gegenüber “futurezone” bestätigt, dass die Richtigkeit des Zertifikats nicht überprüft werde. Die Überprüfung des Codes erfolge erst durch den Scan mit der zweiten App, Green Check, vor Ort durch das Personal in Restaurants, beim Friseur oder auf Reisen. Allerdings finde diese Überprüfung im Alltag nicht immer statt und es werden lediglich die angezeigten Informationen durchgelesen. Damit werde nicht überprüft, ob jemand tatsächlich auch sein eigenes Impfzertifikat verwendet, theoretisch wäre es damit auch möglich, dass Ungeimpfte eine Impfung vortäuschen.

In Deutschland validiert etwa die App des RKI direkt beim Hinzufügen des Zertifikats, ob der QR-Code überhaupt gültig ist. Falls nicht, kann es gar nicht in der App gespeichert werden. Auch die Schweizer App prüft die Gültigkeit unmittelbar. Die österreichische App basiert auf dieser Open Source Anwendung, die das Schweizer Bundesamt für Informatik und Telekommunikation (BIT) entwickelt hat. Daher ist die Prüf-Funktion im verwendeten Quellcode zumindest vorgesehen. Nach den Recherchen der Studierenden der FH Hagenberg ist an dieser Stelle bei der österreichischen App aber nur eine To-Do-Liste hinterlegt. So lasse sich relativ leicht ein QR-Code fälschen, der zwar von der App als EU-konform gelesen wird, aber beliebige Informationen enthält.

Das BRZ verwies gegen futurezone darauf, dass es strafbar sei, das Dokument zu fälschen. Außerdem liege es nicht in der Verantwortung des BZR, ob der Grüne Pass auch kontrolliert werde. Das Gesundheitsministerium kündigte gegenüber dem Ö1-“Morgenjournal” an, dass der Mangel in einigen Tagen mit dem nächsten Update behoben werden soll.

(red/apa)

Titelbild: APA Picturedesk

Lesen Sie auch

26 Kommentare
Neueste
Älteste Meisten Bewertungen
Inline Feedbacks
Zeige alle Kommentare

 

Wir geben die Herausforderung weiter:
25.000 € Spenden in den nächsten 3 Wochen – und wir haben 50.000 €.
Wir können sie gut brauchen: für die einzige Zeitung, die zu 100 Prozent unabhängig ist, von der Regierung, ihren Inseraten und ihrer Macht.

 

 

Bei 25.000,- Spenden bis 15.08

gibt es einen Verdoppler dieser Spenden!

X