Offizielle Salzburger COVID Selbsttest-App weist wesentliche Sicherheits-Mängel auf

Einleitung

Nachdem die Salzburger Web-Plattform „salzburg-testet.at“ bereits im Januar 2021 durch IT-Sicherheits-Schwachstellen aufgefallen war, hat die Veröffentlichung der Smartphone-App „Selbsttest RK Salzburg“ unser Interesse geweckt, auch diese Software aus IT-Security-Sicht zu überprüfen. Die Überprüfung der iPhone-Anwendung wurde am Nachmittag des 21.05.2021 von DI(FH) Martin Herfurt (IT-Wachdienst.com) durchgeführt.

Die Untersuchung der Anwendungslogik zeigt, dass Fehler gemacht wurden, die den Zweck der Anwendung und die dafür getätigte Investition in Frage stellen.

Identifizierte Schwachstellen

Die hier beschriebenen Schwachstellen wurden durch sehr vorsichtiges Testen festgestellt. Auf die Durchführung von belastenden Brute-Force Attacken gegen die produktive Server-Infrastruktur wurde verzichtet, um die Verfügbarkeit dieser wichtigen Plattform für die Allgemeinheit nicht zu gefährden.

1. Vorhersagbarkeit der QR-Codes

Die Vorhersagbarkeit der in den salzburger Apotheken verteilten QR-Codes ermöglicht Angreifern die massenhafte Entwertung der ausgegebenen Codes, bevor diese von echten Nutzern verwendet worden sind. Somit ist es für Personen mit IT Grundkenntnissen einfachst möglich, das System für mehrere Wochen – bis QR-Codes überarbeitet und ausgeliefert sind – lahm zu legen. Im Detail enthalten die QR-Codes eine sehr einfache Seriennummer, wie beispielsweise W000001S. In der darauf folgenden Seriennummer wird lediglich die beinhaltete Zahl um 1 erhöht, also W000002S. Das Problem ist nun, dass Seriennummern erraten werden können und sobald eine Seriennummer im zentralen System mit einem Testresultat verbunden ist, diese nicht mehr verwendet werden kann. Wird dieser Prozess von einem Angreifer automatisiert, können in kürzester Zeit alle in den Apotheken ausgegebenen QR-Codes nutzlos gemacht werden. Zudem haben weitere Tests gezeigt, dass sogar fiktive Codes (z.B, „W99999999S“) verwendet werden können, die vermutlich bisher noch nicht einmal ausgegeben wurden.

2. Wiederverwendbarkeit von beliebigen Fotos

Die zum Beleg des durchgeführten Tests erstellten Fotos werden vom Server nicht überprüft und können einerseits beliebig sein und zudem auch öfter verwendet werden. Das ermöglicht Angreifern das einfache Fabrizieren von negativen Testresultaten. Außerdem wird durch diese Tatsache die Durchführung des in Punkt 1 skizzierten Angriffs stark vereinfacht.

3. Beliebigkeit von Telefonnummer und E-Mail-Adresse

Die in der Test-Registrierung angegebene Telefonnummer und E-Mail-Adresse werden in der Anwendung lediglich zur Zusendung des Download-Links für den PDF-Nachweis verwendet, jedoch vom Server nicht auf Gültigkeit überprüft. Da der Download-Link unmittelbar nach Absenden des Tests in der Anwendung vorliegt, können die Felder für Telefonnummer und E-Mail-Adresse mit fiktiven Inhalten befüllt werden.

4. Nichtüberprüfbarkeit des Resultats

Das vom Server-Backend generierte PDF-Dokument kann durch Einsatz geeigneter Editoren verändert werden, da es keine digitale Signatur enthält. Auch ein Ausdruck des (womöglich gefälschten) Resultats kann von Kontrollierenden nicht auf Authentizität geprüft werden, da es weder eine eindeutige Identifikation, noch eine Prüf-URL bzw. einen QR-Code enthält.

Zusammenfassung

Angreifer sind in der Lage durch Manipulation der für die App bereitgestellten zentralen Systemschnittstelle im Internet die in den Apotheken verteilten QR-Codes mit einfachen Mitteln „aufzubrauchen“. Das führt dazu, dass nach einem Angriff die verteilten Tests für den bestätigten Selbsttest nicht genutzt werden können und die Selbsttest-Initiative für einen längeren Zeitraum ausfällt.

Weitere, leicht vermeidbare, Fehler in der Implementierung zeigen, dass auch diese Anwendung vor der Veröffentlichung vermutlich nicht auf IT-Security Schwachstellen hin untersucht wurde.

Über IT-Wachdienst

Hinter dieser Untersuchung steht ein innovatives Salzburger Start-up, dass sich auf IT-Risikoabschätzungen und IT-Security spezialisiert hat. Als Experte für Applikations-Sicherheit hilft der „IT-Wachdienst” großen und kleinen Unternehmen dabei rasch und effizient ihr IT-Security Risiko zu minimieren. So bietet IT-Wachdienst” – neben IT-Sicherheitsberatung und Schwachstellenscans - auch Anwendungsüberprüfungen (Application Security Assessments) für Unternehmen und sonstige Organisationen an.

Mehr dazu

• https://apps.apple.com/at/app/selbsttest-rk-salzburg/id1563915676
• https://www.it-wachdienst.com/services/
• https://www.it-wachdienst.com/author/martin-herfurt/