Bei unsachgemässer Überprüfung des Corona-Zertifikats auf dem Smartphone besteht ein riesiges Missbrauchspotenzial. Abgelaufene Zertifikate können mit wenigen Klicks wieder gültig gemacht werden, berichtet das Online-Portal Watson.
Wer ein abgelaufenes Corona-Zertifikat auf dem Handy hat, muss lediglich das Datum auf dem Smartphone zurückstellen. Anschliessend erscheint das Zertifikat wieder als «gültig». Betrüger können sich so Zugang zu Restaurants oder Clubs verschaffen, obwohl sie über kein gültiges Zertifikat verfügen.
Ohne Scan gibts Missbrauchspotenzial
Die meisten Orte scannen die Nachweise mit einer speziellen App ein. Diese zeigt an, ob das Zertifikat gültig oder ungültig ist. Bei dieser elektronischen Überprüfung funktioniert der Betrug mit dem Datum nicht.
Manche Türsteher verzichten aber auch auf den Scan und schauen sich den Nachweis lediglich auf dem Handy des Gasts an. Bei dieser unsachgemässen Überprüfung kann der «Datums-Betrug» angewendet werden, denn: Das Zertifikat erscheint auf dem Handy des Gastes als «gültig». Wird nicht genau kontrolliert, besteht ein grosses Missbrauchspotenzial.
Kontrolle muss mit App erfolgen
Möglich macht das eine Lücke beim Abgleich mit dem Server des Bundes: Abgelaufene Zertifikate werden dort nicht als «zurückgezogen» markiert. Entsprechend wird bei einer manuellen Kontrolle der digitale Nachweis nur mit der Datumseinstellung auf dem Handy abgeglichen und anhand dieses Datums als «gültig» oder «ungültig» markiert.
Das BAG teilt gegenüber Watson mit, die Kontrolle direkt auf dem Handy des Gastes sei nicht zulässig. Diese müsse mit der offiziellen «Check-App» des Bundes erfolgen. Damit seien Manipulationen nicht möglich. Wann die Möglichkeit, das Zertifikat mittels Datumsänderung wieder als «gültig» zu deklarieren, entfernt werde, sagt das Bundesamt allerdings nicht.
- Im App Store die Gratis-App «Covid Certificate Check» herunterladen.
- App öffnen, «Prüfen» anwählen.
- Jetzt kann das Zertifikat des Besuchers eingescannt werden.
- Ist das Zertifikat gültig, erscheint ein grüner Haken. Alles okay!
- Im App Store die Gratis-App «Covid Certificate Check» herunterladen.
- App öffnen, «Prüfen» anwählen.
- Jetzt kann das Zertifikat des Besuchers eingescannt werden.
- Ist das Zertifikat gültig, erscheint ein grüner Haken. Alles okay!
Die mögliche Datums-Manipulation ist die zweite Sicherheitslücke, die bei der Corona-Zertifikats-App auftritt. Blick enthüllte bereits vor einigen Wochen, dass Nutzer bei unsachgemässer Bedienung viele persönliche Daten über sich preisgeben. Abhilfe schafft hier lediglich das «Light»-Zertifikat. (zis)
