Corona-Selbsttests von Aldi: Technik dahinter schlecht umgesetzt

Aldi verkauft nun Selbsttest für das Coronavirus, mit denen man sich selbst bescheinigen lassen kann, ob die Viruslast im Körper so hoch ist, dass man eine Ansteckungsgefahr für andere Menschen darstellt. Der Anbieter Aesku stellt auf seinem Portal eine Funktion zur Verfügung, mit dem man sich ein Zertifikat ausstellen lassen kann. Man braucht nur den QR-Code an der Packung zu scannen – wenn man sich getestet hat – und Führerschein- oder Ausweisnummer anzugeben. Mit diesem Zertifikat kann man dann in öffentliche Einrichtungen und Co. gehen. Wie die Kollegen von heise.de nun herausfanden, ist das Ganze sehr leicht aushebelbar und besitzt auch ein Datenleck.

Der QR-Code ist auf der Außenseite der Packung angebracht, mit diesem kann man beliebig viele Zertifikate erstellen. Es könnte also Hinz und Kunz in den nächsten Aldi-Markt marschieren, dort QR-Codes fotografieren und sich Zertifikate erstellen. Problem dabei: Einmal benutzt, können die Käufer der Packung den Code nicht mehr verwenden. Die ID für die Generierung findet man auch in einem generierten Zertifikat, das heißt: Habt ihr ein Zertifikat, könnt ihr viele weitere generieren.

Doch es kommt schlimmer. Die von dem Portal generierten URLs zum Download der Zertifikate enthielten den Zeitstempel der Generierung des Zertifikats. Problem dabei: Es ist die einzige Variable im URL-String. Das macht es relativ einfach, den kompletten Bestand an Zertifikaten zu durchsuchen, wenn man die Zeitstempel durch ein Skript durchgeht. Eine weitere „Sicherung“ à la Captcha gibt es für den Download außerdem nicht. Mit dem Download von fremden Zertifikaten kommt man außerdem auch an die genutzte Ausweis- oder Führerscheinnummer – unverschlüsselt.

Heise meldete die Problematik an den Hersteller, zumindest das URL-Problem ist mittlerweile beseitigt worden. Das Problem mit dem QR-Code jedoch nach wie vor vorhanden. Dieser müsste normalerweise nach innen verlegt werden. Mal schauen, wie sich die Story noch entwickelt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Oliver Posselt

Hauptberuflich im SAP-Geschäft tätig und treibt gerne Menschen an. Behauptet von sich den Spagat zwischen Familie, Arbeit und dem Interesse für Gadgets und Co. zu meistern. Hat ein Faible für Technik im Allgemeinen. Auch zu finden bei Twitter, Instagram, XING und Linkedin, oder via Mail. PayPal-Kaffeespende an den Autor

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.