Ekspertom ds. bezpieczeństwa informatycznego udało się wprowadzić do aplikacji Corona-Warn-App fałszywy cyfrowy certyfikat szczepienia dla nieżyjącego już od dawna Roberta Kocha. Najwyraźniej istnieje poważna luka w zabezpieczeniach. System nie sprawdza podpisu cyfrowego. Według ustaleń ekspertów IT, fałszywe i błędne dane nie są wykrywane.
Certyfikat szczepienia dla Roberta Kocha wprowadzony do aplikacji Corona-Warn-App
Firma zajmująca się bezpieczeństwem IT „G DATA CyberDefense AG” z Bochum zdołała stworzyć fałszywy cyfrowy certyfikat szczepienia dla Roberta Kocha, który urodził się w XIX wieku i zmarł dawno temu. Jako datę przyjęcia drugiej dawki szczepionki wpisano 04.08.1890 r.
Robert Koch (zdjęcie: BR/NDR)
Ekspert ds. bezpieczeństwa IT Tim Berghoff z G Data wyjaśnia, na jakie niedopatrzenie natrafił wraz ze współpracownikami podczas sprawdzania bezpieczeństwa aplikacji: „Corona-Warn-App w ogóle nie sprawdza podpisu cyfrowego pod takim certyfikatem szczepienia.”
Możliwość wystawiania fikcyjnych certyfikatów szczepień
Zespół ds. bezpieczeństwa IT sam stworzył kod QR dla certyfikatu szczepienia zgodnie z unijnymi wytycznymi „EU Health Network Guidelines on verifiable vaccination certificates – basic interoperability elements”. Nie powinno to być w ogóle możliwe.
Na swojej stronie internetowej Instytut Roberta Kocha wyjaśnia, że serwis jest aplikacją internetową dla centrów szczepień, gabinetów lekarskich i aptek: „Upoważnione osoby mogą z jego pomocą łatwo, bezpiecznie i wygodnie wystawiać cyfrowe certyfikaty szczepień przeciw COVID”. Po weryfikacji tworzą kod QR, który może być wczytany do aplikacji przez osobę zaszczepioną. Aplikacja działa wówczas jak cyfrowy certyfikat szczepienia.
Umiejętność programowania wystarczy do nadużycia
Ale ponieważ w Corona-Warn-App Instytutu Roberta Kocha brakuje kontroli podpisu cyfrowego, w zasadzie każdy, kto posiada umiejętności programistyczne, może stworzyć odpowiednie kody QR, a następnie użyć ich do stworzenia fikcyjnych cyfrowych certyfikatów szczepień. Według ekspertów G Data, można tworzyć kody QR o całkowicie wymyślonej treści, które nie są odrzucane przez aplikację Corona-Warn-App. Podając nieprawdziwe informacje, można stworzyć dowolny kod QR, który może posłużyć jako dowód szczepienia, nawet w przypadku osób żyjących współcześnie. Według Tima Berghoffa może w związku z tym dochodzić do nadużyć.
System nie rozpoznał niewiarygodnych danych
Zgodnie z wymyślonymi przez informatyków danymi, Robert Koch został zaszczepiony w 1890 roku. System najwyraźniej nie dostrzegł, że to nie może być prawda. Nie następuje żadna weryfikacja podpisu cyfrowego. Nie ma znaczenia, czy twórca kodu QR jest upoważniony, czy nie. Aplikacja Corona-Warn-App bez problemu akceptuje 130-letnie świadectwo szczepienia.
„Fakt, że dowód szczepienia jest wyświetlany prawidłowo w aplikacji nie świadczy o tym, że jest on rzeczywiście prawdziwy”, stwierdził Tim Berghoff z G Data.
Cyfrowy certyfikat szczepień opracowywany w zbytnim pośpiechu?
Luki w zabezpieczeniach są najprawdopodobniej efektem bardzo dużej presji czasowej, jaką zapewne wywierało Federalne Ministerstwo Zdrowia, podejrzewa Tim Berghoff.
„Ponieważ teraz, na krótko przed wakacjami, oczywiście zależało im na przedstawieniu odpowiedniego rozwiązania, które umożliwiłoby przywrócenie obywatelom odrobiny normalności. To samo w sobie nie jest takie złe. Jednak w tym przypadku odbyło się to wyraźnie kosztem bezpieczeństwa” – stwierdził Tim Berghoff z G Data.
Nie przewidziano możliwości wycofania certyfikatu
Błędy, które zostały popełnione do tej pory, będą bardzo trudne – jeśli nie niemożliwe – do naprawienia, obawia się ekspert ds. bezpieczeństwa IT Tim Berghoff. Nawet gdyby wykryto, że dowód osobisty Roberta Kocha, zaszczepionego w 1890 roku, został sfałszowany, nie można wycofać cyfrowych certyfikatów szczepień. Obecnie system nie przewiduje takiej możliwości.
Ministerstwo przerzuca odpowiedzialność na apteki
Instytut Roberta Kocha nie chciał komentować luk w zabezpieczeniach i odesłał dziennikarzy BR24 do Federalnego Ministerstwa Zdrowia. Tam z kolei wskazuje się na obowiązki kontrolne aptek jako podmiotów wydających certyfikaty. Pominięto jednak fakt, że kod QR może zostać utworzony samodzielnie na komputerze, a zatem również sfałszowany, ponieważ aplikacja Corona-Warn-App nie weryfikuje podpisu cyfrowego.
Fałszerzom grożą dwa lata więzienia
Jest co najmniej jedna przeszkoda dla potencjalnych fałszerzy: od 1 czerwca 2021 roku fałszowanie dokumentów dotyczących szczepień przeciw COVID-19 jest karalne. Grozi za to do dwóch lat więzienia.
Źródło: www.br.de
