Sicherheitslücke in Grüner-Pass-App entdeckt: QR-Code lässt sich fälschen
Studierende der FH Hagenberg haben herausgefunden, dass sich der QR-Code von Impfbestätigungen leicht fälschen lässt.
Wer seinen Impfpass nicht in gedruckter Form mitschleppen will, kann seinen Impfpass ganz bequem in die Grüner-Pass-App laden. Doch Studierende der FH Hagenberg haben nun eine große Sicherheitslücke entdeckt: Der QR-Code der Impfbestätigung lässt sich leicht fälschen. Auf diese Weise könnten auch Ungeimpfte die App des grünen Passes des Bundesrechenzentrum (BRZ) austricksen, wie “futurezone” berichtet. Die Studenten fanden nämlich heraus, dass in der Anwendung nicht geprüft wird, ob der Code wirklich gültig ist.
Zweite App um Gültigkeit zu überprüfen
Ein Sprecher des BRZ habe diesen Umstand gegenüber “futurezone” bestätigt, wie es in dem Bericht heißt. Die Gültigkeit werde erst mit einer zweiten App – dem Green Check – überprüft. Diese App solle aber überall dort verwendet werden sollte, wo die 3-G-Regel für den Zugang gilt – also in Restaurants, beim Friseur oder auf Reisen.
Apps, die etwa in Deutschland oder der Schweiz verwendet werden, führen diese Überprüfung aber schon beim Einscannen durch.
Kommentare
Warum wundert mich das nicht?
Sowieso kann man den leicht fälschen. Ich kann auch die Passnummer von jemand anderen angeben. Nur beim Vergleich mit anderen Ausweisen wird das halt nicht zusammenpassen und fliegt dann auf.
Einen QR-Code kann jeder selbst erstellen, es kann jeder einen QR-Code auslesen. Also was gibt es da großartig zu “entdecken”?
Man kann freilich auch einen PCR-Test einfach von jemand anderem kopieren. Im Restaurant wird niemand auch noch einen Ausweis dazu verlangen. Aber wenn die Polizei das kontrolliert, fliegt das auf.
Man kann deswegen den QR-Code nicht wirksam fälschen, weil er sich entweder auf eine andere Person bezieht und wenn er sich auf die eigene Person bezieht, reicht eine kurze Abfrage, dass das auffliegt. Es ist ja zentral gespeichert, wer geimpft ist und wer nicht.
Einen QR-Code zu fälschen ist also nicht tauglicher, als im Schülerausweis das Geburtsdatum zu fälschen.
Kleiner Gedankenfehler 😉
Die App greift nicht auf das Impftegister zu!
Es geht an sich nur um den QR-Code. Der muss ja nicht von einer App angezeigt werden, der kann auch auf Papier sein. Es ist also egal, ob die App das in sich kontrolliert. Und auch wenn sie es kontrolliert, kann das Handy ja von jemand anderem sein.
Beim Herzeigen übers Smartphone wird auch in einem Restaurant kaum kontrolliert werden, ob das Bild von der offiziellen App angezeigt wird oder ob es lediglich ein Screenshot ist, der von einem Bildbetrachter angezeigt wird.
Wenn die Polizei oder amtliche Organe, die das kontrollieren keinen Zugriff auf die zentrale Datenbank haben – so wie beispielsweise bei den Parkpickerln in Wien – und nicht zusätzlich einen Lichtbildausweis verlangen, ist das sowieso sinnlos.
Aber um einfach z.B. in ein Restaurant zu kommen – und das hatte ich gemeint – ist es sowieso so einfach wie mit einem gefälschten Schülerausweis in eine Disco zu kommen. Die schauen ja nur, ob es glaubwürdig ausschaut.