Covid-19-App der Telekom prüft Zertifikat nicht

Mit der heute von der Telekom und der Firma BS Software Development bereitgestellten App können die Resultate von Covid-19-Tests kommuniziert werden. Leider hat das an sich hilfreiche Programm gravierende Sicherheitsmängel.

So prüft es beispielsweise bei der Verbindung zum Server das Zertifikat nicht. Damit können Angreifer die übertragenen Daten mitlesen oder manipulieren.

Die Benutzer der App geben entweder manuell oder durch Scannen eines QR-Codes eine Kennung ein, dann wird eine Verbindung zum Telekom-Server aufgebaut.

Diese Verbindung erfolgt zwar über HTTPS, allerdings wird das Zertifikat dabei nicht geprüft. Laut der Computerzeitschrift c’t war auf dem Server ein schon mehrere Jahre abgelaufenes Zertifikat installiert.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Allgemeines, Internet, Mobilgeräte, News, Programmierung, Sicherheit, Soziales abgelegt und mit , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.