Datenleck in der Corona-App?

Hallo zusammen,

bei der Benutzung der Corona-App ist mir Folgendes aufgefallen:
Mit der App kann man die QR-Codes anderer Leute scannen und so die Zertifikate auf Echtheit prüfen. So weit so gut. Scanne ich den QR-Code meiner Freundin, habe ich danach ihr Zertifikat in meiner App gespeichert. Das geht auch fröhlich so weiter, wenn man weitere Zertifikate scannt. Diese fremden Zertifikate kann ich problemlos vorzeigen und als eigene benutzen. Geburts- und Impfdatum erhalte ich auch.
Ich finde das datenschutzrechtlich ziemlich bedenklich. Ein gefaketes Zertifikat kann man so unendlich oft in den falschen Kreisen multiplizieren.

Teilt ihr meine Bedenken?

Viele Grüße

1 „Gefällt mir“

Wenn ich die Nachricht richtig verstehe ist das kein Fehler, sondern eine Funktion der App: Wenn man Zertifikate so scannt, wie du es getan hast, dann werden sie nicht nur geprüft, sondern in der App gespeichert. Das soll auch so sein, denn die Funktion ist eben zum Scannen und Speichern eigener Zertifikate gedacht.

Zum Prüfen gibt es eine separate App.

2 „Gefällt mir“

Absolut kein Leck sondern falsche Anwendung. Die CoronaWarnApp dient explizit nicht zum Prüfen anderer Zertifikate, dafür gibt es z.B. die CovPassCheck-App: CovPassCheck-App: Quickly check EU Digital COVID Certificates

Die CovPass (ohne Check) App weist auch explizit darauf hin, dass man sein Zertifikat nur mit einer Prüf-App scannen lassen sollte:

Genauso sieht es bei der CWA aus:

Wird verarbeitet: 15C720F1-2483-4B44-8586-E2607309CDDC.jpeg …

Auch wenn der Hinweis bei beiden Apps mMn noch deutlicher sein dürfte.

2 „Gefällt mir“

Dswegen reicht auch der bloße Check des Zertifikats in der App nicht aus. Man muss schon dazu noch den Lichtbildausweis gegenhalten.

3 „Gefällt mir“

Problem bleibt natürlich trotzdem, dass man kaum überprüfen kann, was der Mensch am Kinoeinlass oder wo auch immer gerade für eine App offen hat. Das ist aber prinzipbedingt schwer zu verhindern. Er könnte ja auch theoretisch die Foto-App benutzen, oder irgendeine selbstgemachte, die wie CovPassCheck aussieht aber den QR-Code kopiert.

Hätte man vielleicht von Anfang an by Design verhindern können, bspw. indem es zwei verschiedene QR-Codes für jeden Impfnachweis gibt, einen zum Importieren, und einen anderen der dann in der App erzeugt wird zum Vorzeigen. Aber auch damit hätte man nicht verhindern können, dass einfach kopierte Screenshots vorgezeigt werden.

Ohne Ausweiskontrolle funktioniert’s eben nicht richtig.

5 „Gefällt mir“

Ich finde sehr wohl das das ein Bug der CovPass und der CoronaApp ist. Wenn ich in eine Kneipe gehe kontrolliere ich doch nicht, mit welcher App ich kontrolliert werde. Das es so einfach möglich ist, meine Zertifikat zu “klauen” ist schlechtes App-Design. Man hätte ohne große Probleme einen Vorzeigemodus in die Apps einbauen können, die einen Transfer des Zertifikats verhindert. Neulich erst bei Logbuch Netzpolitik von einem Wirt gehört, der sich wunderte, dass alle Zertifikate nach dem Scannen auf seinem Handzettel blieben und nicht verstanden hat, dass er eine andere App nutzen muss. Ob sowas absichtlich oder unabsichtlich passiert, es ist völlig unnötig und nach meiner Ansicht ein unnötiges Datenschutzrisiko.

Wie geht sowas denn?

Oki, ich bin jetzt kein Programmierer, vielleicht stelle ich mir das zu einfach vor.

Ich hätte gedacht, ich habe im Menu den normalen Vorzeigemodus und irgendwo an anderes Stelle einen Reiter Transfer des Zertifikats. Je nach dem welches ich auswähle, bekomme ich einen anderen Barcode (halt an einer Stelle eine 0 statt einer 1 für übertragbarkeit). Die Standardapps (CovPass, Coronawarnapp importieren nur Barcodes, in denen da eine 1 steht). Das würde auch verhindern, dass jemand den Barcode photographiert und später importiert.

Mag sein, dass man mit hoher Energie den Barcode wieder umrechnen kann, aber zumindest schließt du den Fall, den ich oben beschrieben habe, mit den Standardapps aus.

Wie gesagt, technisch bin ich da sicher nicht der Profi, der das anschließend bewerten kann, aber was wäre denn an meinem Vorschlag nicht umsetzbar?

BG

Diesen Vorschlag gab es im CWA-Github bereits im September. Siehe hier:

Dort schreibt die Person:

The data content of the displayed QR code shall contain an information which marks it as „playback“ version of a scanned certificate, and when recognizing this mark during the „Add Certificate“ function, CWA (and other cooperative wallet apps) shall not proceed but also indicate that validation shall be made by a proper validator app.

Also recht ähnlich zu dem, was du vorschlägst. Die Suggestion wurde bereits abgelehnt:

This feature was declined for the following reason: This would make the family certificates scans no longer usable. People should be able to share already scanned certificates with their family members.

Meiner Meinung nach ist dieser Grund nicht ausreichend, da ja weiterhin ein Export via PDF möglich sein könnte, in welchem dieses Daten-Bit nicht enthalten ist - allerdings gibt ein anderer User etwas zu bedenken, das tatsächlich problematischer sein könnte:

I am aware that this proposal is a huge thing. Introducing DNI in the EU DCC needs to be aligned with all member states, because even if the proposal is technically feasible, implementors may have chosen to interpret „unprotected section“ differently and may produce check errors. There are some reasons why it could be declined. The presented one however is IMHO not one of them.

Ich sehe das ähnlich. Die Grundlagen des Digitalen Covid Zertifikats (DCC) sind bereits seit Monaten festgelegt und für alle EU-Staaten einheitlich vorausgesetzt. Solch eine grundlegende Änderung würde einen erheblichen Aufwand nach sich ziehen. Technisch wäre das sicher möglich, praktikabel zu diesem Zeitpunkt aber vermutlich nicht mehr.

Außerdem noch eine eigene Sidenote: dieser Vorschlag würde lediglich gegenüber den Fällen etwas mehr Sicherheit bieten, in denen eine scannende Person versehentlich die falsche App nutzt und diese App (CWA oder CovPass statt CovPassCheck) den zusätzlichen Header respektiert. Es ist aber ja kein Problem, eine eigene App zu schreiben, die diesen Header nicht respektiert und trotzdem alle Daten ausliest.

2 „Gefällt mir“