Corona-Selbsttests von Aldi: Technik dahinter schlecht umgesetzt

Aldi verkauft nun Selbsttest für das Coronavirus, mit denen man sich selbst bescheinigen lassen kann, ob die Viruslast im Körper so hoch ist, dass man eine Ansteckungsgefahr für andere Menschen darstellt. Der Anbieter Aesku stellt auf seinem Portal eine Funktion zur Verfügung, mit dem man sich ein Zertifikat ausstellen lassen kann. Man braucht nur den QR-Code an der Packung zu scannen – wenn man sich getestet hat – und Führerschein- oder Ausweisnummer anzugeben. Mit diesem Zertifikat kann man dann in öffentliche Einrichtungen und Co. gehen. Wie die Kollegen von heise.de nun herausfanden, ist das Ganze sehr leicht aushebelbar und besitzt auch ein Datenleck.

Der QR-Code ist auf der Außenseite der Packung angebracht, mit diesem kann man beliebig viele Zertifikate erstellen. Es könnte also Hinz und Kunz in den nächsten Aldi-Markt marschieren, dort QR-Codes fotografieren und sich Zertifikate erstellen. Problem dabei: Einmal benutzt, können die Käufer der Packung den Code nicht mehr verwenden. Die ID für die Generierung findet man auch in einem generierten Zertifikat, das heißt: Habt ihr ein Zertifikat, könnt ihr viele weitere generieren.

Doch es kommt schlimmer. Die von dem Portal generierten URLs zum Download der Zertifikate enthielten den Zeitstempel der Generierung des Zertifikats. Problem dabei: Es ist die einzige Variable im URL-String. Das macht es relativ einfach, den kompletten Bestand an Zertifikaten zu durchsuchen, wenn man die Zeitstempel durch ein Skript durchgeht. Eine weitere „Sicherung“ à la Captcha gibt es für den Download außerdem nicht. Mit dem Download von fremden Zertifikaten kommt man außerdem auch an die genutzte Ausweis- oder Führerscheinnummer – unverschlüsselt.

Heise meldete die Problematik an den Hersteller, zumindest das URL-Problem ist mittlerweile beseitigt worden. Das Problem mit dem QR-Code jedoch nach wie vor vorhanden. Dieser müsste normalerweise nach innen verlegt werden. Mal schauen, wie sich die Story noch entwickelt.