Wichtige Änderung bei der Schweizer Zertifikate-App

Die vom Bundesamt für Gesundheit (BAG) herausgegebene Zertifikate-App und die dazugehörige Prüf-App sind wichtige Werkzeuge im Kampf gegen die Corona-Pandemie. Doch bei der Verbesserung dieser Technik harzte es.

Wenige Monate nach der Lancierung gab es Hinweise, dass eine in die Zertifikate-App integrierte Funktion fälschlicherweise genutzt wird, um fremde QR-Codes zu kontrollieren. Doch die Warnungen unabhängiger IT-Fachleute blieben scheinbar ungehört. Es dauerte fast ein Vierteljahr, bis die riskante Schwachstelle im Zertifikate-System behoben wurde.

Nun nimmt das BAG Stellung.

Hintergrund

Im Oktober 2021 wies die Redaktion bereits auf die Problematik der unsachgemässen Überprüfung von Zertifikaten hin. Statt den QR-Code mit der offiziellen Zertifikate-Prüf-App des Bundes zu scannen, nahmen bequeme Kontrolleure das Handy der Gäste und drückten den Aktualisieren-Button: Die App zeigt daraufhin grün für "gültig" an und rot für "ungültig". Das schuf ein erhebliches Missbrauchspotential.

Damit sollte nun endlich Schluss sein. Das neuste App-Update lässt den Refresh-Button unten rechts verschwinden. Stattdessen prangt dort vorläufig ein "i" in einem Kreis.

Wenn man auf das "i" tippt, erscheint der Hinweis, dass die Prüfung von Zertifikaten mit der entsprechenden Prüf-App ("COVID Certificate Check") vorzunehmen sei.

Das Problem

Die Schweizer Covid-Zertifikate-App und die dazugehörige Prüf-App wurden bekanntlich im Juni 2021 lanciert. Fachleute des Bundes und der privaten App-Entwicklerfirma Ubique arbeiten seither gemeinsam am Projekt und nutzen dafür die bekannte Software-Entwicklungs-Plattform GitHub.

Dort ist der gesamte Programmcode öffentlich einsehbar – es ist ja ein Open-Source-Projekt – und er kann von Interessierten heruntergeladen werden. Und dort tauschen sich auch unabhängige IT-Fachleute und interessierte Dritte über das Projekt und die Sicherheit aus.

Im September 2021 warnte ein User in einem öffentlich einsehbaren Posting, dass die Aktualisierungsfunktion eine Schwachstelle im Zertifikate-System darstelle. Seine Begründung: Die bei Github verfügbaren Softwarekomponenten (das sogenannte "Repository") könnten verwendet werden, um eine gefälschte Zertifikate-App zu erstellen und diese (auf einem Android-Smartphone) zu installieren.

Bei einer unsorgfältigen Überprüfung könnte man so ein vermeintlich gültiges Zertifikat vortäuschen:

"Restaurants, Fitnesscenter usw. nutzen das grüne Häkchen nach der Aktualisierung, um der Gültigkeit des Zertifikats zu vertrauen, anstatt den QR-Code zu scannen. Dies ist jedoch unsicher: Jeder "Schwurbler" kann dieses Repository einfach klonen und die App leicht modifizieren, damit sie immer ein grünes Häkchen anzeigt, unabhängig davon, was im QR-Code angezeigt wird, und einen ansonsten verbotenen Bereich betreten." Daraufhin passierte – augenscheinlich nichts.

Im Oktober warnte ein anderer Github-User. Nun reagierten die Verantwortlichen. Zumindest lassen bei Github einsehbare Antworten darauf schliessen. Das Problem war erkannt, doch wieder passierte – nichts.

Erneut verstrich ein Monat, in der bequeme Türsteher und andere Kontrolleure nur den Refresh-Button betätigten. Sprich: Eine unbekannte Zahl von Zertifikaten wurde nicht so kontrolliert, wie es der Bund verlangt und vorschreibt.

Im November präsentierte ein weiterer Github-User, auch er ein unabhängiger IT-Spezialist, eine eigene Lösung. Dieser Vorschlag kam der nun realisierten Verbesserung schon sehr nah: Wer in der Zertifikate-App den Aktualisieren-Button betätigte, sollte in einem aufpoppenden Fenster darauf hingewiesen werden, stattdessen die Prüf-App zu verwenden.

Wieder gab es keine öffentlich einsehbare Reaktion seitens der beim Bund zuständigen Fachleute.

Interessantes Detail: Offenbar gab es in Deutschland mit der dortigen Corona-Warn-App ähnliche Probleme. Dazu muss man wissen, dass dort die Zertifikatsverwaltung im Gegensatz zur Schweiz in die Warn-App integriert ist.

Damit zurück in die Schweiz, wo sich im Dezember bei Github die Situation zuspitzte. Ein engagierter User schlug vor, dem BAG, respektive der für die App-Entwicklung zuständigen Firma ein Ultimatum bis am 20. Januar zu stellen. Sollte der Aktualisieren-Button in der Zertifikate-App nicht entschärft werden, demonstriere man die Gefährlichkeit der Schwachstelle mit einer Beispielsoftware ("Proof of Concept") und erhöhe damit den öffentlichen Druck auf den Bund.

Nun endlich stellten die Projekt-Verantwortlichen in Aussicht, dass sie das Problem ernsthaft angehen wollen.

"Wir sind uns der Probleme bewusst, die ihr im Zusammenhang mit der Aktualisierungsschaltfläche angesprochen habt. Derzeit werden mögliche Lösungen geprüft. Wir werden euch rechtzeitig auf dem Laufenden halten."

Anfang Januar wies ein Github-User darauf hin, dass die Entwickler an der iOS-Version der Zertifikats-App arbeiteten. Und ein Projektverantwortlicher bestätigte, dass die Anpassungen "in den nächsten Wochen" ausgeliefert würden.

Das BAG nimmt Stellung

In Apples App Store (iOS) heisst es im Beschrieb zum Update (3.2.0): "Ab dem 17.1.2022 wird zunächst übergangsweise ein Info-Button erscheinen." Was damit gemeint ist, erklärt Grèegoire Gogniat, BAG-Sprecher:

"Der Info-Button weist den Halter respektive die Halterin abhängig vom Zeitpunkt des ersten Gebrauchs nach dem Update der "COVID Certificate-App" auf die neuste Version während zwei Wochen darauf hin, dass der "Refresh-Button" deaktiviert wurde. Der Hinweis bleibt jeweils für zwei Wochen bestehen. Danach wird auch der Info-Button nicht mehr erscheinen."

Auf die Frage, warum es dermassen lange dauerte, bis das Problem nun behoben wurde, heisst es:

"Die Herausforderungen in Zusammenhang mit dem Refresh-Button sind dem Projektteam bereits seit längerem und unabhängig von der Diskussion auf Github bekannt. Die epidemiologische Entwicklung in den letzten Monaten hat wiederholt (teilweise sehr kurzfristig) Anpassungen im Covid-Zertifikat benötigt. Entsprechend wurden die Release-Inhalte priorisiert."

Gemäss Darstellung des Bundes hatten die App-Entwickler also nicht früher Zeit, die Anpassung vorzunehmen.

Auf der BAG-Webseite zur Zertifikate-App werden Besucherinnen und Besucher nun eindringlich ermahnt:

"Wichtig: Nutzen Sie konsequent die ‹COVID Certificate›-Check-App zur Prüfung des QR-Codes. Nur so kann garantiert werden, dass das präsentierte Zertifikat und die darin enthaltenen Angaben echt sind und nicht manipuliert wurden. Ein manuelles Scrollen, oder das Prüfen auf Sicht in der Halter-App ist nicht zugelassen."

Es ist zu befürchten, dass in der Bevölkerung beträchtliche Verwirrung oder Unkenntnis herrscht, was das korrekte Überprüfen der Zertifikate betrifft. Darum sei an dieser Stelle empfohlen, wenn nötig die App zu aktualisieren. Und es sei auch nochmal auf die BAG-Anweisungen verwiesen:

Um sicherzustellen, dass ein präsentierter QR-Code tatsächlich zur vorweisenden Person gehöre, müsse (etwa bei Eingangskontrollen) überprüft werden, dass Name, Vorname und Geburtsdatum auf dem Covid-Zertifikat und dem amtlichen Ausweisdokument übereinstimmen. Und vor allem sollte auch das Passfoto zur Person mit dem Zertifikat passen.

Massnahmen im Oktober

Im Oktober 2021 wurde per App-Update eine Schwachstelle behoben, die bereits von Kriminellen ausgenutzt wurde. Seither funktioniert das Manipulieren der Geräte-Systemzeit nicht mehr, um vorzutäuschen, dass ein abgelaufenes Zertifikat gültig ist.

Dieser Beitrag erschien zuerst auf Watson.ch.

Lesen Sie auch: Nextevent will die Schweizer Eventbranche neu aufmischen. Eine sogenannte Ticketing-App soll dabei den Einlass trotz Covid-Zertifikat-Prüfung beschleunigen. Mehr dazu finden Sie hier.