News Corona-App für Patienten: Deutsche Telekom liefert Testergebnisse in Echtzeit

[SVΞN]

Die Deutsche Telekom und das auf Softwarelösungen für Ärzte, Labore und Kliniken spezialisierte Unternehmen BS Software Development haben eine App entwickelt, die Patienten schneller über ihre COVID-19-Testergebnisse informieren soll. Die App soll 20.000 Menschen davon in Kenntnis setzen, ob sie das Coronavirus in sich tragen.

Zur News: Corona-App für Patienten: Deutsche Telekom liefert Testergebnisse in Echtzeit

 

[Rickmer]

Ich dachte zuerst 'das wird doch sicher ein schlechter Aprilscherz sein' aber dann habe ich gecheckt das es nur um das Abrufen der Ergebnisse geht und echt ist...

 

[Akula]

Schöne Sache. Habe es mir gleich mal installiert und schaue, ob es für mich sinnvoll und praktikabel für die kommenden Wochen.

 

[GregoryH]

@SV3N
Ich dachte auch die ganze Zeit es handelt sich um einen Aprilscherz. Falls dem nicht so ist eventuell dazu schreiben.

 

[I'm unknown]

Allerdings waren Daten zu keinem Zeitpunkt in Gefahr. Die gesamte Kommunikationskette ist End-2-End verschlüsselt. Es ist daher auch durch eine Man-in-the-Middle-Attacke nicht möglich, Daten einzusehen oder gar zu manipulieren

Nun ja, wenn sie unterhalb der SSL/TLS Strecke mit Bastelzertifikat noch zusätzlich eine weitere Verschlüsselung eingebaut haben dann nicht. Ich würde eher mal darauf tippen dass Herr Bucher entweder keine Ahnung hat oder versucht maximal zu beschwichtigen.
Im übrigen Frage ich mich für was man eine App benötigt wenn im QR Code schon eine URL enthalten ist. Kann jedes Smartphone im Browser öffnen (und der warnt sogar vor Zertifikaten wie in diesem Beispiel).

Aber gut, Qualität hat bei der Telekom Geschichte. Ihr Kandidat für AES hat nicht einmal die Live-Präsentation überlebt https://de.wikipedia.org/wiki/Magenta_(Algorithmus)

 

[ReactivateMe347]

Wenn es doch nur eine Methode gäbe, wie ein Nutzer asyncron zeitnah und nach Wunsch anonym oder zumindest ziemlich anonym Nachrichten erhalten kann. So etwas wie einen Kurznachrichtendienst oder einen Nachrichtenserver zum Beispiel ....

Im ernst, wozu eine App? Per SMS oder Mail benachrichtigen ginge ohne die Notwendigkeit, noch eine App zu installieren usw.

 

[CyrionX]

Was genau verleitet euch zu der Annahme das wäre ein Aprilscherz?
Weder ist der Inhalt des Artikels besonders unglaubwürdig, noch würde ich CB es zutrauen gerade jetzt solche unpassenden "Jokes" zu bringen.

Zum Artikel selber:
Wenn der Hersteller sagt, die Daten sind End-2-End verschlüsselt, woher kommt dann der Ratschlag "aus Sicherheitsgründen (davon) abzuraten" ? Zumal der End-2-End Verschlüsselung im Artikel nicht widersprochen wird. Dann hätte ich schon gerne eine Erklärung warum das Zertifikat dann noch notwendig ist, wenn zwar andere mitlesen, aber niemand die anonymisierten Daten entschlüsseln kann. Davon abgesehen ist die Rückmeldung zu einem eventuell bestätigten Verdacht auf Covid-19 sehr viel wichtiger als eine unbedeutende Sicherheitslücke wie diese.

So ohne Begründung halte ich das das abraten von der APP sogar für unmoralisch.

Ergänzung (1. April 2020)

Im ernst, wozu eine App? Per SMS oder Mail benachrichtigen ginge ohne die Notwendigkeit, noch eine App zu installieren usw.

Wie genau sind SMS denn anonym? Wenn 0152-XXXXXXX positiv getestet wurde ist doch alles klar.
Die APP scannt das Etikett das man vom Arzt bekommt um so die Ergebnisse zu erhalten. Steht doch so (impliziert) im Text

 

[Brink_01]

Ich dachte zuerst 'das wird doch sicher ein schlechter Aprilscherz sein' aber dann habe ich gecheckt das es nur um das Abrufen der Ergebnisse geht und echt ist...

Am besten gar nicht erst die Bewertungen der App lesen

 

[Falc410]

Wenn der Hersteller sagt, die Daten sind End-2-End verschlüsselt, woher kommt dann der Ratschlag "aus Sicherheitsgründen (davon) abzuraten" ? Zumal der End-2-End Verschlüsselung im Artikel nicht widersprochen wird. Dann hätte ich schon gerne eine Erklärung warum das Zertifikat dann noch notwendig ist, wenn zwar andere mitlesen, aber niemand die anonymisierten Daten entschlüsseln kann. Davon abgesehen ist die Rückmeldung zu einem eventuell bestätigten Verdacht auf Covid-19 sehr viel wichtiger als eine unbedeutende Sicherheitslücke wie diese.

Grundsätzlich ist es auch End-to-End verschlüsselt, das Problem ist, dass die App das Zertifikat gar nicht prüft. Dadurch kann ein Angreifer es gegen eines seiner Wahl austauschen und dann kann er das natürlich entschüsseln. Das Zertifikat sollte ja eigentlich genau dazu da sein, dass eben kein Man-in-the-Middle durchgeführt werden kann - sprich, dass du sicher bist mit dem richtigen Partner (Server) zu kommunizieren. Das ist Authentifizieren ist neben der Verschlüsselung ein wichtiger Teil. Und der ist nicht mehr gegeben.

Bei Heise steht noch mehr:

So liefert der Server, mit dem die App kommuniziert, ein katastrophales Zertifikat, das nicht von einer einer vertrauenswürdigen CA stammt und bereits seit 4. April 2015 – also seit fast fünf Jahren – abgelaufen ist. Auch die TLS/SSL-Konfiguration des Servers lässt zu Wünschen übrig: So akzeptiert der Server nach wie vor die RC4-Verschlüsselung, die seit Jahren als unsicher gilt. Moderne Krypto-Verfahren wie TLS 1.2 fehlen hingegen.

D.h. du kannst nicht nur mit dem falschen Server kommunizieren, sondern die Angreifer könnten auch ein TLS Downgrade vornehmen, d.h. du zwingst den Client oder Server (auch wieder über Man-in-the-middle z.B.) auf eine schwächere Verschlüsselung - hier RC4. RC4 ist eine Stream-Chiffre, gilt aber als unsicher da man die Zahlen vorhersagen kann wenn man den Initialisierungsvektor (Seed) kennt.

 

[Qarrr³]

[QUOTE="CyrionX, post: 23918953,
Wie genau sind SMS denn anonym? Wenn 0152-XXXXXXX positiv getestet wurde ist doch alles klar.
Die APP scannt das Etikett das man vom Arzt bekommt um so die Ergebnisse zu erhalten. Steht doch so (impliziert) im Text
[/QUOTE]
Man bekommt zufällig eine 1 oder 0 für ja oder nein vor Ort gesagt und das labor sendet entsprechend die Nachricht?

 

[I'm unknown]

Wenn der Hersteller sagt, die Daten sind End-2-End verschlüsselt, woher kommt dann der Ratschlag "aus Sicherheitsgründen (davon) abzuraten" ? Zumal der End-2-End Verschlüsselung im Artikel nicht widersprochen wird.

Wie @Falc410 schon geschrieben hat steht bei c't mehr. Der Artikel hier ist tatsächlich eher eine Information, aber alle Links sind enthalten.
@SV3N Wäre allerdings vermutlich nicht verkehrt auch die Updates der c't noch zu erwähnen, sonst entsteht der Eindruck es war nichts. Hersteller scheint ja zu belegen dass Grundkenntnisse von MIT fehlen.

Davon abgesehen ist die Rückmeldung zu einem eventuell bestätigten Verdacht auf Covid-19 sehr viel wichtiger als eine unbedeutende Sicherheitslücke wie diese.

Im Worst-Case kann jemand einem positiv getesteten Menschen negativ zurück melden. Der geht dann natürlich erleichtert erst mal wieder Einkaufen oder trifft (falls erlaubt) eine bekannte Person.

So unbedeutend finde ich das nicht... ...und generell darf auch wegen #Corona nicht der Verstand abgeschaltet werden. Auch wenn es eine schwere Zeit ist sollte man wichtige Entscheidungen gründlich überdenken.

 

[Rumbah]

Zum Artikel selber:
Wenn der Hersteller sagt, die Daten sind End-2-End verschlüsselt, woher kommt dann der Ratschlag "aus Sicherheitsgründen (davon) abzuraten" ? Zumal der End-2-End Verschlüsselung im Artikel nicht widersprochen wird.

Das Problem ist unter anderem, dass laut c't die eindeutige ID, mit der du dein Ergebnis abholst, gerade nicht extra verschlüsselt ist. Auch bei Nachtests heute Nachmittag war das immer noch der Fall, entgegen der Aussagen des Herstellers.

Und die ID kann man halt wegen der mangelhaften Zertifikate, Server und Prüfungen relativ problemlos abfangen. Damit ist es dann völlig egal, ob deine Ergebnisse Ende zu Ende verschlüsselt sind. Jeder mit der ID kann einfach die Ergebnisse abfragen.

 

[roaddog1337]

Is das die app hier?
https://www.heise.de/ct/artikel/c-t...elekom-ist-katastrophal-unsicher-4694222.html

 

[Mardock]

Wäre es nicht sinnvoller das per SMS zu lösen? Verschlüsselung hin oder her es geht ja nur um Corona nicht um was intimes.

 

[__TheWall__]

Der Artikel von c't dazu ist sicherlich auch interessant. Soll nicht ganz so sicher sein die app...

 

[Berserkervmax]

Das kann doch nur ein Aprilscherz sein oder?

Ist der Datenschutz jetzt egal oder was ?
Ich habe immer mehr das Gefühl das jetzt alles durchgeboxt wird wegen Corona was normal nie gehen würde.
Bleibt doch einfach zu Hause , haltet Abstand und wascht Euch die Hände !

UND SEIT FROH DAS WIR IN DEUTSCHLAND LEBEN !

 

[DirtyOne]

Das ist doch eine super Sache, schön wie schnell man praktikable Lösungen schaffen kann.

 

[cal1s]

Also wer diese App oder irgendeine Corona App herunterlädt, dem kann so oder so nicht mehr geholfen werden

 

[tree-snake]

Schöne Sache. Habe es mir gleich mal installiert und schaue, ob es für mich sinnvoll und praktikabel für die kommenden Wochen.

Wenn du nicht direkt Kontakt mit einem Fall hattest oder in Norditalien warst (wird inzwischen schwer) oder du ins Krankenhaus musst testet dich keiner. Da kannst du dem Arzt Bluthusten was du willst.

Wieso kann man dem Getesten nicht einfach eine automatisierte Mail schicken was das Ergebnis ist ?

Der Mailverkehr kann recht gut verschlüsselt werden. Wozu wieder ne App mit zig Lücken ?

 

[Schmarall]

Bei heise bzw. c't wurde die App ebenfalls zum Thema und schneidet dabei grottenschlecht ab! Nicht nur, dass Angreifer allerlei Dinge abgreifen können, es geht sogar soweit, dass sie die übermittelte Diagnose verfälschen können.

Weiterhin will die App selbst schon vom Hersteller völlig unnötige Berechtigungen.

Ich würde dieses Ding nichtmal mit der Kneifzange anfassen.