Security-Experten des Bundes zeigen Schwächen der Corona-App auf

12. Juni 2020, 16:15
  • coronavirus
  • technologien
  • google
  • apple
  • open source
image

CSIRT und Govcert.ch stellen dem Proximity-Tracing-System des Bundes grundsätzlich gute Noten aus. Aber sie nennen noch Baustellen.

Die Schweizer Corona-Warn-App soll grundsätzlich sicher sein. Dies bescheinigen ihr zumindest zwei Cybersicherheits-Organe des Bundes. Die Stellen begleiteten die Entwicklung eng.
Dabei wiesen sie immer wieder auf Sicherheitsprobleme hin, wie das Computer Security Incident Response Team (CSIRT) des Bundesamts für Informatik und Telekommunikation (BIT) und die Stelle Govcert.ch (Swiss Government Computer Emergency Response Team) in einem Bericht festhielten.
Zu den grössten, nun aber gelösten Schwächen, zählen die Tester die illegitime User-Identifikation auf Grundlage von DNS-Abfragen sowie Schwachstellen in den Support-Systemen. Man habe zudem einige weitere kleine und mittelschwere Schwächen gefunden, diese seien nun aber adressiert worden, heisst es weiter.
Es ist aber nicht alles im Sinne der Tester gelöst worden. So fanden sie die Möglichkeit für Man-in-the-Middle-Angriffe mittels TLS-Interception. Dies sei nun mit der Implementierung eines Zertifikat-Pinnings gelöst worden. Eine zusätzliche End-to-End-Verschlüsslung, wie dies die Tester vorgeschlagen hätten, sei nicht implementiert worden.
Zu Problemen mit den Supportsystemen schreiben die Tester zudem, die meisten seien behoben worden, aber: "Für das System mit den meisten Schwachstellen wurde ein internes Projekt für ein vollständiges Code-Refactoring gestartet." Zudem gebe es einige Sicherheits-Bedenken, die ausserhalb des Testbereichs lägen, etwa solche auf den Geräten der User oder des medizinischen Personals.

Generell ist die App robust und sicher

Das ganze System weise nun aber generell einen hohen Grad an Datensicherheit und Schutz der Privatsphäre auf. Das von der ETH Lausanne entwickelte Protokoll sei durchdacht und sehr robust. Es habe den richtigen Ansatz zur Feststellung der Annäherung an eine mit dem Coronavirus infizierte Person.
Die Anonymität der Nutzer sei ausreichend gewährleistet. Die Daten seien durch eine Firewall geschützt. Sensiblere Daten gingen direkt ans BIT. Auch das Content Delivery Network (CDN), das Netz regional verteilter und über Internet verbundener Rechner, ist demnach gegen Angriffe ausreichend abgeschirmt. Die Quellcodes der iOS- und der Android-App seien wohlstrukturiert und gut programmiert.
Die beiden Cybersicherheits-Stellen des Bundes halten weiter fest, dass noch einige kleinere Sicherheitsfragen offen waren, als sie den Bericht verfassten. Er ist auf den 28. Mai datiert, wurde aber heute veröffentlicht.

Loading

Mehr zum Thema

image

Das "letzte Stündchen" der alten Einzahlungsscheine

Die Umstellung auf die QR-Rechnung ist aus Sicht der Post sehr gut angelaufen. Es kommen aber immer noch Kunden mit veralteten Einzahlungsscheinen an die Schalter.

publiziert am 4.10.2022
image

Hausmitteilung: Aus C36daily wird ICT Ticker

Wir modernisieren den ICT-Medienspiegel C36daily und geben diesen neu unter dem Namen ICT Ticker heraus. Am bisherigen Format mit kuratierten Inhalten ändert sich nichts.

publiziert am 30.9.2022
image

Wie es um die Umstellung zur QR-Rechnung steht

Die roten und orangen Einzahlungsscheine gehen in den Ruhestand. Wir blicken auf die Einführung der QR-Rechnung zurück und haben bei SIX und Anbietern von Business-Software zum aktuellen Stand nachgefragt.

publiziert am 29.9.2022 5
image

Googles Suchfunktion erhält neue Features

Die visuelle Suche wurde verbessert und es gibt neu einen Suchoperator, mit dem sich Ergebnisse aus der unmittelbaren Umgebung anzeigen lassen.

publiziert am 29.9.2022