Corona-Selbsttests bei Aldi: Negativ-Zertifikate faktisch wertlos.
„Es ist also nicht einmal erforderlich, eine Packung mit Corona-Selbsttests zu kaufen, um an gültige Zertifikate zu kommen, geschweige denn, den Selbsttest durchzuführen. Durch simples Ausprobieren von Timestamps gelang es uns in nur wenigen Stunden, genügend PDFs zu finden, um über drei Monate lang jeden Tag ein neues erschlichenes Zertifikat vorweisen zu können.(...)
QR-Code als Angriffsvektor
Kurz nach dem Verkaufsstart bei Aldi berichtete die Deutsche Apotheker Zeitung, dass man lediglich den von außen sichtbaren QR-Code der Verpackung scannen müsse, um auf der Website des Herstellers ein Zertifikat zu generieren. Ein Foto oder Video des Codes genügt, etwa aus dem Regal im Handel, aus den sozialen Medien oder aus Unboxing-Videos von YouTube. Der QR-Code der Verpackung enthält eine 128 Bit lange ID, die sich anfangs für beliebig viele Zertifikate nutzen ließ. Nach dem Bericht beschränkte Aesku die Menge auf fünf Zertifikate pro 5er-Packung. Nutzt eine fremde Person den ausgespähten QR-Code einer Packung, um sich ein Zertifikat zu erschleichen, geht man als rechtmäßiger Besitzer leer aus.(...)
Vorhersagbare Download-URLs
Schlimmer noch: Die Download-URL der Zertifikat-Dateien enthielten als einzigen variablen Teil den Unix-Timestamp des Zeitpunkts, an dem das Zertifikat erstellt wurde – also die Anzahl der Sekunden, die seit Neujahr 1970 vergangen sind. So war es ein Leichtes, die Website von Aesku systematisch nach Zertifikaten zu durchsuchen – der Abruf war nicht einmal durch ein Captcha vor einem massenhaften Download per Skript geschützt.
Den Timestamp als einziges Unterscheidungsmerkmal zu verwenden zeigt auch, wie kurzsichtig das Zertifikatvergabesystem programmiert wurde:
Da die Zertifikate nur 24 Stunden gültig sind, sollte man sich idealerweise täglich testen – bei rund 80 Millionen Einwohnern in Deutschland würde dies durchschnittlich knapp 1000 Zertifikate pro Sekunde bedeuten.
Das System verkraftete jedoch nur ein einziges Zertifikat pro Sekunde, es war also auf nicht einmal 100.000 Tests täglich ausgelegt.“
https://www.heise.de/news/Corona-Selbsttests-bei-Aldi-Negativ-Zertifikate-von-Aesku-faktisch-wertlos-5987246.html
„Es ist also nicht einmal erforderlich, eine Packung mit Corona-Selbsttests zu kaufen, um an gültige Zertifikate zu kommen, geschweige denn, den Selbsttest durchzuführen. Durch simples Ausprobieren von Timestamps gelang es uns in nur wenigen Stunden, genügend PDFs zu finden, um über drei Monate lang jeden Tag ein neues erschlichenes Zertifikat vorweisen zu können.(...)
QR-Code als Angriffsvektor
Kurz nach dem Verkaufsstart bei Aldi berichtete die Deutsche Apotheker Zeitung, dass man lediglich den von außen sichtbaren QR-Code der Verpackung scannen müsse, um auf der Website des Herstellers ein Zertifikat zu generieren. Ein Foto oder Video des Codes genügt, etwa aus dem Regal im Handel, aus den sozialen Medien oder aus Unboxing-Videos von YouTube. Der QR-Code der Verpackung enthält eine 128 Bit lange ID, die sich anfangs für beliebig viele Zertifikate nutzen ließ. Nach dem Bericht beschränkte Aesku die Menge auf fünf Zertifikate pro 5er-Packung. Nutzt eine fremde Person den ausgespähten QR-Code einer Packung, um sich ein Zertifikat zu erschleichen, geht man als rechtmäßiger Besitzer leer aus.(...)
Vorhersagbare Download-URLs
Schlimmer noch: Die Download-URL der Zertifikat-Dateien enthielten als einzigen variablen Teil den Unix-Timestamp des Zeitpunkts, an dem das Zertifikat erstellt wurde – also die Anzahl der Sekunden, die seit Neujahr 1970 vergangen sind. So war es ein Leichtes, die Website von Aesku systematisch nach Zertifikaten zu durchsuchen – der Abruf war nicht einmal durch ein Captcha vor einem massenhaften Download per Skript geschützt.
Den Timestamp als einziges Unterscheidungsmerkmal zu verwenden zeigt auch, wie kurzsichtig das Zertifikatvergabesystem programmiert wurde:
Da die Zertifikate nur 24 Stunden gültig sind, sollte man sich idealerweise täglich testen – bei rund 80 Millionen Einwohnern in Deutschland würde dies durchschnittlich knapp 1000 Zertifikate pro Sekunde bedeuten.
Das System verkraftete jedoch nur ein einziges Zertifikat pro Sekunde, es war also auf nicht einmal 100.000 Tests täglich ausgelegt.“
https://www.heise.de/news/Corona-Selbsttests-bei-Aldi-Negativ-Zertifikate-von-Aesku-faktisch-wertlos-5987246.html
c't Magazin
Corona-Selbsttests bei Aldi: Negativ-Zertifikate faktisch wertlos
Mit den Corona-Selbsttests von Aldi kann sich jeder ein negatives CoVid-Zertifikat ausstellen, ohne je einen Test zu kaufen. c't fand außerdem ein Datenleck.