Gravi carenze di sicurezza nel certificato di vaccinazione digitale. Gli esperti di sicurezza di G DATA esaminano da vicino la scheda di vaccinazione Covid-19 per smartphone.
Un'indagine degli esperti di sicurezza G DATA sul certificato di vaccinazione digitale ha dimostrato che ci sono alcune gravi omissioni nell'implementazione della sicurezza. Se lo desideri, puoi creare certificati di vaccinazione senza aver ricevuto una vaccinazione.
L'elenco dei problemi di sicurezza è lungo
Uno sguardo ravvicinato ai componenti chiave del registro delle vaccinazioni recentemente disponibile mostra che presenta alcune evidenti debolezze. L'elenco dei problemi di sicurezza è lungo: l'app Corona-Warn non controlla le firme dei certificati di vaccinazione digitali, in modo che chiunque possa creare un certificato che a prima vista sembri reale. Tuttavia, ci sono ancora problemi concettuali molto più grandi: i dati rilevanti del certificato di vaccinazione giallo o del passaporto, ad esempio il numero di lotto del vaccino, non vengono né controllati quando vengono creati né inclusi nei certificati di vaccinazione digitali. Ciò rende impossibile un controllo successivo. Anche l'accesso delle farmacie alla creazione di certificati di vaccinazione non è sicuro e i certificati di vaccinazione rilasciati non possono essere revocati in caso di uso improprio. Non sono le basi tecniche che mancano, ma l'implementazione.
“L'impressione è che l'introduzione del certificato di vaccinazione digitale sia stata soprattutto una decisione affrettata. Essere in grado di presentare una soluzione rapida prima dell'inizio delle festività natalizie era ovviamente più importante di una soluzione sicura fin dall'inizio", spiega Thomas Siebert, Head of Protection Technologies di G DATA CyberDefense.
Scatto rapido prima delle festività natalizie
Farmacie, studi medici e centri di vaccinazione creano i certificati di vaccinazione con l'aiuto di un sito web. L'accesso a questo portale è protetto solo con un nome utente e una password, non esiste un'autenticazione a più fattori. I programmi dannosi specializzati nel furto di dati di accesso fanno parte da anni del repertorio standard dei criminali informatici. I truffatori che si appropriano illegalmente dei dati di registrazione di una farmacia, ad esempio, possono teoricamente utilizzare il portale per creare un certificato di vaccinazione dopo l'altro.
I certificati di vaccinazione possono anche essere integrati nella Corona-Warn-App (CWA) del Robert Koch Institute per poterli mostrare su uno smartphone. Tuttavia, l'applicazione non controlla se la firma elettronica della prova digitalizzata è valida. Con poche righe di codice del programma è possibile creare un codice QR con un certificato di vaccinazione di fantasia che viene facilmente accettato dall'app Corona-Warn e resiste facilmente a un'ispezione visiva. Una verifica effettiva del certificato di vaccinazione è possibile solo con l'app CovCheck.
Altro su GData.de
Informazioni su G Data Con servizi di difesa informatica completi, l'inventore dell'antivirus consente alle aziende di difendersi dal crimine informatico. Più di 500 dipendenti garantiscono la sicurezza digitale di aziende e utenti. Made in Germany: con oltre 30 anni di esperienza nell'analisi del malware, G DATA conduce ricerca e sviluppo software esclusivamente in Germania. Le massime esigenze in materia di protezione dei dati hanno la massima priorità. Nel 2011, G DATA ha emesso una garanzia "no backdoor" con il sigillo di fiducia "IT Security Made in Germany" di TeleTrust eV. G DATA offre un portafoglio di antivirus e protezione degli endpoint, test di penetrazione e risposta agli incidenti per analisi forensi, controlli dello stato di sicurezza e formazione sulla consapevolezza informatica per difendere efficacemente le aziende. Nuove tecnologie come DeepRay proteggono dai malware con l'intelligenza artificiale. L'assistenza e il supporto fanno parte del campus G DATA di Bochum. Le soluzioni G DATA sono disponibili in 90 paesi e hanno ricevuto numerosi riconoscimenti.