Aldi-Schnelltest Corona-Test-Bescheinigung ist ein Desaster
Beim Corona-Schnelltest von Aldi soll ein negatives Ergebnis per Zertifikat etwa für Veranstaltungen nachweisbar sein. Ein IT-Magazin hat nun gezeigt, dass das System voller Lücken steckt und für Missbrauch anfällig ist
Ein negativer Corona-Test als Eintrittskarte zu Konzerten, Kinobesuchen oder Kneipenabenden? So etwas dürfte dem Unternehmen Aesku Group vorgeschwebt haben, als es für seinen bei Aldi erhältlichen Schnelltest Aesku Rapid ein digitales Test-Zertifikat entwickelte. In der Theorie klingt das gut und einfach:
Wer den Schnelltest durchgeführt und ein negatives Ergebnis erhalten hat, scannt mit seinem Smartphone einfach einen QR-Code auf der Unterseite der Testverpackung. Zur sicheren Identifikation muss dann noch die Personalausweis- oder Führerscheinnummer eingegeben werden und anschließend erhält man eine PDF-Datei mit dem Negativ-Zertifikat des Herstellers. Darauf abgebildet ist ebenfalls ein QR-Code.
Wird er dann am Zielort mit einem Smartphone eingescannt, sieht die prüfende Person sofort, dass hier ein Negativ-Test vorgelegen haben soll und ob das Zertifikat nicht älter als 24 Stunden ist. Anhand der Führerschein- oder Personalausweisnummer soll dann direkt auch noch nachprüfbar sein, ob hier auch die richtige Person ihr Testergebnis vorlegt.
Theorie klingt gut, Praxis strotzt vor Fehlern
In der Theorie klingt das tatsächlich gut – das IT-Magazin "c't" hat sich das Verfahren allerdings genauer angeschaut und kommt zu einem vernichtenden Urteil.
Über das erste Problem war bereits in der vergangenen Woche berichtet worden: Denn da der QR-Code, den man zum Erstellen des Zertifikats braucht, außen auf der Packung angebracht ist, genügt es, den Code im Laden einzuscannen, um sich dann ein Zertifikat auszustellen. Einen Test kaufen oder gar auspacken und anwenden muss man dazu nicht.
- Von Aldi bis Penny: Hier können Sie Corona-Schnelltests kaufen
Anfangs konnten laut "c't" von jedem QR-Code zudem beliebig viele Zertifikate erstellt werden. Damit reichte es auch, etwa den QR-Code in einem der YouTube-Unboxing-Videos vom Bildschirm abzuscannen um entsprechende Zertifikate zu erstellen.
Testzertifikate konnten nach Belieben erzeugt werden
Nach Bekanntwerden des Problems reagierte der Hersteller und beschränkte die Menge der erstellbaren Zertifikate pro QR-Code auf fünf – so viele Tests sind in der Packung auch enthalten. Am Problem ändert das aber nichts: Wenn Käufer Pech haben, können sie selbst keine Zertifikate mehr erstellen, weil Dritte den QR-Code schon im Laden abgescannt hatten, ohne den Test zu kaufen.
Doch auch die vermeintliche Lösung, den QR-Code einfach im Innern der Packung anzubringen, würde nicht helfen, fand die c't heraus. Denn auch der auf dem erzeugten Zertifikats-PDF abgebildete QR-Code sei unsicher: So ist dort die Packungs-ID unverschlüsselt hinterlegt, sodass Dritte daraus weitere, bis dahin unverbrauchte Zertifikate erstellen können. Hier würde schon ein Foto von einem Zertifikats-QR-Code genügen, der gerade am Einlass eines Veranstaltungsorts vorgezeigt wurde.
Noch schlimmer: Die im QR-Code untergebrachte URL, auf der das Handy dann die Echtheit des Zertifikats bei Aesku-Group abfragt, sei anfangs laut c't zudem leicht erratbar gewesen. Hier habe der Server einfach einen Zeitstempel vergeben. Den Redakteuren gelang es, durch einfaches Herumprobieren so an etliche fremde Zertifikate zu gelangen – und darüber hinaus noch an verschiedene persönliche Daten, die Nutzer freiwillig eingetragen hatten.
Hier habe der Hersteller mittlerweile zwar nachgebessert, doch auch so sei das System rechnerisch auf maximal 100.000 Zertifikate pro Tag begrenzt, weshalb Nutzer sich unter Umständen nach erhaltenem negativem Testergebnis nicht einmal ein Zertifikat ausstellen lassen könnten.
"Stümperhaft umgesetzt" und "gescheitert" lautet daher das klare Urteil der c't-Experten. Der ganze Text ist auf heise.de nachzulesen.
Vor gut einer Woche hatte Aldi als erster Discounter den Verkauf von vergleichsweise günstigen Corona-Schnelltests gestartet, die ausdrücklich auch von Laien angewendet werden sollen. Weitere Discounter und Apotheken zogen in den folgenden Tagen nach. Bisher sind insgesamt sieben Schnelltests für Laien zugelassen.