iphone-ticker.de — Alles zum iPhone. Seit 2007. 35 091 Artikel

Erschlichene Negativ-Zertifikate

QR-Code außen aufgedruckt: ALDI-Schnelltests mit massiven Problemen
Artikel auf Mastodon teilen.
87 Kommentare 87

Die Corona-Selbsttests, die die beiden Discounter ALDI Nord und ALDI SÜD seit Anfang der vergangenen Woche im Fünferpack zu 25 Euro in ihren Filialen verkaufen, haben mit massiven Problemen bei der Ausstellung ihrer Negativ-Zertifikate zu kämpfen – und auch um den Datenschutz der Anwender-Eingaben ist es nach Recherchen von Mirko Dölle und Jan Mahn schlecht bestellt.

Selbsttest

So werden die Fünferpackungen der Corona-Selbsttests vom Hersteller mit QR-Code verkauft, der den Online-Zugang zu fünf Negativ-Zertifikaten möglich machen soll. Anwender sollen nach einem negativen Testergebnis hier ihre Personalausweis- oder Führerscheinnummer angeben und werden umgehend mit einem PDF-Zertifikat ausgestattet, das die Anwendung des Testes bestätigt und etwa beim Besuch im Altersheim, beim Frisör oder bei Veranstaltungen vorgezeigt werden kann.

PDF-Zertifikate können einfach erschlichen werden

Doch die QR-Codes sind nicht geschützt. So lassen sich die Negativ-Zertifikate auch von ALDI-Besuchern generieren, die für den Schnelltest gar nicht bezahlt bzw. diesen auch nicht angewendet haben. Nach angaben von von Mirko Dölle und Jan Mahn reicht bereits ein Abfotografieren des außen auf der Schachtel aufgedruckten QR-Codes aus, um sich fünf personalisierbare Negativ-Zertifikate zu erschleichen.

Aldi Corona Test

Besonders ärgerlich: Wurde der QR-Code von einem Filialbesucher einmal gescannt und zur Generierung von fünf Negativ-Zertifikaten genutzt, kann der rechtmäßige Käufer des Tests diesen anschließend nicht mehr verwenden.

Leicht vorhersagbare URLs

Und damit nicht genug: Da der Hersteller Aesku leicht vorhersagbare URLs verwendet hat, konnten Dölle und Mahn die Personalausweis- und Führerscheinnummern sowie das Testergebnis bereits getesteter Nutzer ausspähen.

Mit den Fundstücken der Redakteure konfrontiert, hat das Unternehmen die Schwächen des Tests eingeräumt und inzwischen zumindest die Ergebnis-URLs angepasst und bei der Verschlüsselung nachgebessert. Die QR-Codes sind jedoch nach wie vor ungeschützt für alle Ladenbesucher nutzbar.
15. Mrz 2021 um 11:11 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden
    87 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    87 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 35091 Artikel in den vergangenen 5689 Tagen veröffentlicht. Und es werden täglich mehr.     ifun.de — Love it or leave it   ·   Copyright © 2023 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven