QR-Code leicht zu fälschen: Sicherheitsmängel bei Grünem Pass
WIEN. Drei Studenten der Fachhochschule Hagenberg haben Sicherheitsmängel bei der App des Bundesrechenzentrums (BRZ) zur Speicherung des Grünen Passes festgestellt.
Demnach haben die Studenten herausgefunden, dass sich der QR-Code relativ leicht fälschen lasse. Das bestätigt Jakob Stadlhuber, Student der FH Hagenberg, im Gespräch mit den OÖNachrichten. Grundsätzlich sei es gut, dass es so eine App gebe, aber das Problem sei offensichtlich. Das Gesundheitsministerium kündigt eine Behebung mit dem nächsten Update an.
Auf der App können Getestete, Geimpfte und Genesene ihre Zertifikate speichern. Dafür muss man den QR-Code einscannen, der auf dem offiziellen Dokument über die Webseite gesundheit.gv.at heruntergeladen wird. Die App zeigt dann entweder den QR-Code an, damit er bei Kontrollen gescannt werden kann. Alternativ listet sie die enthaltenen Informationen auf, etwa wann man mit welchem Vakzin geimpft wurde.
Richtigkeit des Zertifikats wird nicht überprüft
Die Studenten haben nun bei der Entwicklung einer ähnlichen App festgestellt, dass zu keinem Zeitpunkt geprüft werde, ob der QR-Code der offiziellen Anwendung tatsächlich gültig ist. Aus dem Bundesrechenzentrum heißt es auf OÖN-Anfrage, man wisse über die Diskussion Bescheid. Es liege jedoch nicht in der Verantwortung des BRZ, ob der Grüne Pass auch kontrolliert werde. Die Überprüfung des Codes erfolge erst durch den Scan mit der zweiten App, Green Check, vor Ort durch das Personal in Restaurants, beim Friseur oder auf Reisen.
In der Theorie finde diese Überprüfung im Alltag allerdings nicht immer statt, und es würden nur die angezeigten Informationen durchgelesen. Damit werde nicht überprüft, ob jemand tatsächlich auch sein eigenes Impfzertifikat verwendet, theoretisch wäre es damit auch möglich, dass Ungeimpfte eine Impfung vortäuschen.
In Deutschland validiert etwa die App des Robert-Koch-Instituts direkt beim Hinzufügen des Zertifikats, ob der QR-Code überhaupt gültig ist. Falls nicht, kann es gar nicht in der App gespeichert werden. Auch die Schweizer App prüft die Gültigkeit unmittelbar.
Video:
Demnächst Update verfügbar
Die österreichische App basiert auf dieser Open Source Anwendung, die das Schweizer Bundesamt für Informatik und Telekommunikation (BIT) entwickelt hat. Daher ist die Prüf-Funktion im verwendeten Quellcode zumindest vorgesehen. Nach den Recherchen der Studierenden der FH Hagenberg ist an dieser Stelle bei der österreichischen App nur eine To-Do-Liste hinterlegt. So lasse sich relativ leicht ein QR-Code fälschen, der zwar von der App als EU-konform gelesen wird, aber beliebige Informationen enthält.
Das BRZ verwies darauf, dass es strafbar sei, das Dokument zu fälschen. Das Gesundheitsministerium kündigte auf OÖN-Anfrage an, dass das Problem demnächst mit einem Update behoben werden soll. Es sei jedoch von Anfang an so vorgesehen gewesen, dass die Überprüfung des QR-Codes mit einer zweiten App "zu verschränken" sei. Künftig soll das mit einer App funktionieren, Wann das Update konkret auf den Markt kommen soll, steht aber noch nicht fest. Bisher wurde die App des Gesundheitsministeriums mehr als eine Million Mal auf Smartphones in Österreich installiert.
Die Frage, die sich hier stellt, ist wer war der Auftraggeber und der Auftragnehmer. Bei diesen Aufträgen handelt es sich meist um Millionenaufträge, die von der Regierung an ihnen gut gesonnenen Unternehmen gehen. Interessant wäre auch, wie die Qualitätskontrolle erfolgt ist. Das ist doch nur möglich, weil wir in der Regierung viele Halbgebildete - Studienabbrecher - etc. sitzen haben, die immer darauf achten müssen, dass sie auch für alle Fälle ein Sicherheitsnetz haben. Bei Produkten für die Konsumenten, müssen viele Tests bestanden werden, bevor es auf die Bevölkerung losgelassen wird. Wenn Studenten - mit viel Grips aber noch wenig Praxis - diese Nachlässigkeit aufdecken können, dann weiß man, dass man für dieses Produkt viel zu viel bezahlt hat. So sieht unsere "Sicherheit" aus!
Wenn man sich die Auftraggeber so anschaut, kann man eigentlich nicht mehr erwarten!
Den fälschungsanfälligen Grünen Pass am Handy braucht man nicht.
Seit voriger Woche werden die Impfzertifikate mit CR-Code vom Ministerium per Post zugesendet.
Wozu den "digitalen Pass" aufs Handy?
Es reicht die Papierform und die ist Fälschungssicher!
Das EU Digital COVID Certificate am Gemeindeamt ausdrucken lassen und wenn nötig zu Hause kopieren und schon hat man jederzeit sein Zertifikat überall griffbereit dabei.
Das Original sicher zu Hause verwahren!
Eine Kopie immer im Auto!
Eine Kopie zum Reisepass!
Eine Kopie zum Fortgehen einstecken!
Haut's euch doch endlich am Bauch mit der dämlichen Impferei.
Die Daten aus Israel beweisen die Nichtwirksamkeit.
Nicht aufquietschen wegen jouwatch, die Daten stammen aus Israel.
Aber ein paar Forumsdodeln quietschen ja auf wenn's nicht in zickezacke erscheint.
https://www.journalistenwatch.com/2021/07/19/daten-israel-effektivitaet/
Zusätzlich ein paar Zuckerl aus dem Impfparadies der Regierung.
Anfrage ans GM ob diese Impfungen wegen Wechselwirkungen mit bestimmten anderen Medikamentenwirkstoffen GETESTET wurden.
Ausweichende Antwort, wenden Sie sich an den Hausarzt.
Anfrage bei BionTech, wir dürfen darüber nur Auskunft in Deutschland geben.
Anfrage bei Pfizer:
Es wurden KEINE Studien zur Erfassung von Wechselwirkungen durchgeführt.
Mit welcher Berechtigung und mit welchem Wissen im Hintergrund wird also die Impfpropagandaschlacht geschlagen?
Mit dem Wissen/Nichtwissen um Wechselwirkungen mit anderen Medikamenten die ja viele Österreicher nehmen müssen?
Mit meinigem Wissen jetzt komme ich nicht umhin die Regierung eine skrupellose Verbrecherbande zu nennen, jetzt mal was nur Corona betrifft.
Diese skrupellosen Gauner können anfragenden Ärzten oder Apothekern somit nicht mal die Auskunft geben ob es eine Wechselwirkung z. B. Kopfschmerztabletten wie Thomapyrin die ja den gleichen Wirkstoff wie der Blutverdünner ThromboAss enthält geben.
Schlicht und ergreifend weil es diese Studien nicht gibt.
@JOPC: Damit dürfte ja über die Quelle: journalistenwatch.com alles gesagt sein, wie seriös da Corona-Berichte sind!
Journalistenwatch (Eigenbezeichnung auch JouWatch)
Inhaltlich wird sie teilweise als rechtspopulistisch bis rechtsextrem und islamkritisch angesehen.
Bis 6 Stunden nach der Impfung sollen grundsätzlich keine Medikamente eingenommen, dazu bedarf es keiner gesonderten Studie und betrifft jede Impfung. Bei starken Kopfschmerzen nach der Impfung ist sowieso ohne Verzögerung das nächste Krankenhaus aufzusuchen und nach 24 Stunden ist der mRNA Impfstoff vollkommen vom Körper abgebaut.
"journalistenwatch.com"... Die Plattform von Herrn Sellner und Herrn Strache? Absolut zuverlässig und seriös! Nett!
Gegenfrage: Wie wollen Sie denn sonst diese Pandemie bekämpfen, wenn nicht mit einer wirksamen Impfung? Oder wollen wir die Intensivmedizin beliebig überlasten, weil es eh egal ist? Kollateralschäden kann man bei keiner Impfung ausschließen, überdies ist bei COVID diesbezüglich nichts bekannt.
Die Sicherheitsprobleme liegen eher darin, überhaupt die Kontrolle persönlicher Gesundheitsdaten außerhalb von Arztpraxen zu verlangen.
Es könnte so einfach sein: Scannen -> Herr/Frau XY darf rein / nicht rein.
Der Grund (welches G) sollte egal sein.
Wie siehts aus mit Genesenen und Grünen Pass?
Ach so - noch immer nicht verfügbar.
Mückstein (Grüne) versagt genauso wie Anschober (Grüne).
Sollen lieber zusehen das der Impfstatus endlich bereinigt und richtig gestellt wird bei den bereits Genesenen und Geimpften. 1/2 Dosis. Zu dem sind sie zu blöd unsere Behörden. Ich war bereits unter den Erkrankten und wurde Geimpft und jetzt soll ich mir noch ein Jaukerl reinziehen, nur weil diese Dümmlinge es nicht schaffen den korrekten Status anzuführen. Nach unzähligen Anrufen, bei diversen unkompetenten Personen, noch nichts geschehen. Diese Totalversager.
@CAMOUFLAGE: Wie soll im Impfzertifikat 2/2 Impfungen eingetragen werden, wenn du nur 1/2 hast? Das wäre ja dann Dokumentenfälschung wenn zwei Impfungen eingetragen sind und du nur eine hast. Genesen ist eben NICHT geimpft.
Die Apps sind das Hirn unserer Zeit😁😁😁
Irgend so ein Volltrottel in NRW hat ja gemeint, es 'sind ja 150 Meldungen mittels Warn APP rausgegangen.'
Wobei ich mich frage wie stur und verbohrt man sein muss den Code zu fälschen, anstatt sich impfen oder zumindest testen zu lassen…
Sorry, aber diese Erkenntnis ist seit Wochen bekannt und wurde im ZDF auch bereits vorgeführt, wie man selbst den QR generieren kann. Dazu braucht es keine drei Studenten aus Hagenberg, die irgendetwas nacherzählen, das längst bekannt ist
Jeder kann einen QR Code Erzeugen.
darum sollte jeder QR Code gescannt werden stimmen die Daten auf dem Server nicht mit den Daten in der App überein oder gibt es den Datensatz gar nicht ist dieser Gefälscht.
dann gehört ordentliche gestraft nicht ein paar 100euro sondern ein paar Tausend euro
„In der Theorie..“ sollte wohl „in der Praxis“ lauten.
Lies was Gscheits
Also nur das durchlesen der Daten die da angezeigt werden bringt gar nichts!
und da ist es egal ob ich einen Ausdruck oder das PDF oder die App habe.
Es muss der QR Code gescannt werden und der Name muss mit einem Lichtbild Ausweis abgeglichen werden.
Ich kann ja auch einfach die Namen am PDF ändern und abspeichern oder ausdrucken.
das ist keine Sicherheit Lücke in der APP es könnte verbessert werden aber mehr nicht.
Ein Poster hatte schon die Idee, dass man aus der Bilderdatenbank (Führerschein, Reisepass, E-Card) dann in der Prüf-App das Foto des Barcodebesitzers anzeigt.
Das würde dann den Abgleich vom Namen mit einem separaten Ausweis ersparen.
Unpraktisch ist außerdem, dass der Barcode vom OÖ Selbsttest nicht mit der Greencheck-App kompatibel ist. Bei der muss man mit einer herkömlichen Barcodeapp dann die URL öffnen, um die Initialen des Einlassbegehrenden zu sehen.
Wieder mal ein Pfusch, nicht das erste Mal. Auf der Softwareseite der Ministerien scheint es massiven Verbesserungsbedarf zu geben. Sollte man da aber diese Dinge an eine Firma ausgelagert zu haben, dann ist zu überprüfen, ob die die geeignete ist. Offensichtlich sind da andere Staaten besser aufgestellt, vielleicht sollte man mit denen zusammenarbeiten und deren Systeme übernehmen.
na ja vielleicht sollte man das gesundheitsminiterium umbenennen
in
"Corona-Pfusch-Ministerium".....
offenbar spart man da nicht nur bei der Juristenkompetenz der Verordnungen seit Kisenbeginn sondern auch bei der IT....
Tolle Studierende in OÖ !!!!
Das extrem peinliche "Kaufhaus Österreich" ist noch in bester Erinnerung.
Ungerne aber doch muss ich diesmal beim "Grünen Pass" aber dagegen halten.
Wenn der QR Code nicht kontrolliert (und geprüft!) wird sondern nur dem grünen Bild am Handydisplay geglaubt wird, dann kann die App nichts dafür. Genauso könnte man sich ein "Impfzertifikat" auf Papier basteln und vorweisen.
Fangen wir mal zu kontrollieren an und wenn die Fälschung eines prüfbaren QR-Codes tatsächlich einfach ist, reden wir weiter.
Sauber!
Die für Monatsmitte lang angekündigte Lösung für "genesen und geimpft" ist auch noch immer auf der Warteliste...
steht doch drunter nur mit Amtlichem Lichtbildausweis gültig,
bei uns habens das zB am Freitag beim Cupspiel kontrolliert
Sehr löblich, leider dürfte die 3G-Kontrolle insbesondere in der Gastronomie die Ausnahme sein.
War wohl das bewährte Team von "Kaufhaus Österreich" am Werk.
Der größte Sicherheitsmangel ist, dass ja nicht einmal kontrolliert wird ob die Person, deren Name auf dem Handy dann erscheint, überhaupt die Person ist, welche das Handy in der Hand hält!
Das liegt aber nicht am System dieser App.
Da sieht man einmal mehr, welche Stümper bei uns am Werk sind.
Dann noch die kindliche Verantwortung, das Fälschen ist strafbar. Kopfschüttel.
Türkis-Grüne Bundesregierung.
Ist wie bei anderen Fälschungen auch. Jede Fälschung eines Dokumentes ist strafbar. Das ist weder kindisch, noch lächerlich.
Wer sich mit der Materie auch nur ein bisdchen befasst weiß, dass eine Fälschung da keine allzu sportliche Aufgabe darstellt...
Aber das Ganze passt sehr zu dieser schmähführenden Chaotentruppe, irrtümlich als Regierung bezeichnet...
Warum lässt die österr. Regierung so eine App nicht einfach von (wissenden) Studenten, wie jene hier aus der FH Hagenberg, entwickeln?....anstatt Millionen an unfähige Firmen zu bezahlen .
Asc19,
gute Frage. Meine Meinung: ,, Da kämen Gewisse finaziell zu kurz."
Wie gesagt, eine Vermutung.😂😂
Die "Gewissen" sind finanziell eh schon bei Kurz....
Eine Totgeburt.