Seit dem 28. Mai läuft der Public-Security-Test für die Schweizer Corona-Tracing-App. Der Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC) geleitet und Meldungen regelmässig veröffentlicht. In den ersten rund zwei Wochen des PITs kamen eine Reihe von Meldungen zusammen, dies zeigt ein Blick in das vom NCSC veröffentlichte Dokument.

Einige davon drehen sich um Sprachfehler und Usability-Issues. Andere wiederum sind securityrelevant.

So bemängelt eine Person, dass ältere Bluetooth-Protokollversionen, die als unsicher gelten, unterstützt werden. Dies ist insbesondere problematisch, da Bluetooth stets aktiviert sein muss, um die App zu nutzen. Ein weiterer Teilnehmer kritisiert, dass für die Nutzung der App nicht nur Bluetooth, sondern auch der GPS-Standort aktiviert werden müssen. Ein "Showstopper" für ihn, wie er schreibt.

Dem Thema Bluetooth hat sich auch der Kryptologie-Professor Serge Vaudenay (EPFL) mit seinem Kollegen Martin Vuagnoux in einer Eingabe gewidmet. Er gibt zu bedenken, dass Rückschlüsse auf einzelne Personen gezogen oder diese identifiziert werden könnten.

Geräte könnten anhand des Bluetooth-Signals, das sie konstant aussenden, geortet werden. So könne zum Beispiel in Echtzeit überwacht werden, wie viele aktive Swisscovid-User in der Nähe sind. Mit ein paar billigen Sensoren in einem Gebäude liesse sich auch die Bewegung von Geräten verfolgen, führt Vaudenay auf Anfrage von inside-it.ch aus.

Daneben kritisierte er den Umgang mit dem Open-Source-Ansatz. "Open Source" bedeute so viel mehr, als nur den Quellcode weiterzugeben. Es bedeute auch, dass jeder den Code verändern, kompilieren und ausführen könne. Dies sei nun nicht der Fall. 

Für Corona-Tracing-Apps stellen Google und Apple eine API zur Verfügung, die "Google Apple Exposure Notification API" (GAEN). Vaudenay schreibt, dass das gesamte DP3T-Protokoll nicht in der App, sondern in GAEN implementiert sei. Für diese APIs seien zwar Spezifikationen aber kein Quellcode verfügbar. Bei Android sei GAEN Teil der Google Play Services, die von Google verwaltet würden. In der App bleibe schliesslich ein "Interface zwischen GAEN, den Servern und dem User", schreibt er gegenüber inside-it.ch. In anderen Worten "SwissCovid ist nicht Open Source und unter der Kontrolle von Apple-Google", wie es in der Eingabe heisst.