Eine Lücke im Server-Backend der deutschen Corona-Warn-App ermöglichte eine Remote Code Execution (RCE). Die eigentliche App war davon nicht betroffen. Laut SAP wurde die Lücke nicht ausgenutzt. Personenbezogene Daten waren über die Schnittstelle nicht erreichbar. Zwar arbeitet die Kontakterkennung der Corona-Warn-App dezentral auf den Smartphones, aber die Verteilung der Zufallskennungen infizierter Personen an die App läuft über einen zentralen Server. Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript Sylvester Tremmel hat sich den Source-Code der Corona-Warn-App angeschaut und erklärt die Hintergründe der Lücke Die Lücke bestand in der Schnittstelle zur Übermittlung von positiven Testergebnissen an den Server. Diese ist öffentlich erreichbar und erfordert keine Authentifikation. Lediglich eine TAN für die Übermittlung eines positiven Ergebnisses ist nötig. Die TAN wird zwar von einem zusätzlichen Verifikationsserver geprüft, aber erst, nachdem Sie vom anfälligen Code verarbeitet wurde. Für die Nutzung Lücke war daher also kein positiver Corona-Test nötig. Schlimmstenfalls wäre es möglich gewesen, eigenen Code auf dem Server auszuführen und möglicherweise gefälschte Ergebnisse einzuschleusen. In einem Blog-Post schreibt SAP, dass die Beseitigung der Schwachstelle zeigt, dass "der Open-Source- sowie Community-Prozess einwandfrei funktioniert und zur Sicherheit des Betriebs der Corona-Warn-App entscheidend beiträgt." Fund durch GitHubs Security Lab Der Quellcode der App und der des Servers liegen öffentlich auf GitHub. Gefunden wurde die Lücke eher zufällig durch GitHubs Security Lab. Dessen Forscher hatten nach Mustern für "Java Bean Validation"-Lücken gesucht, um die Erkennungsmuster in die automatischen Code-Scanning-Werkzeuge der Plattform zu integrieren. Bei der Suche fanden sie auch die Lücke im Code für die Server der Corona-Warn-App. Dort wurde die Ausgabe einer Fehlermeldung als Code interpretiert. Nach dem Fund meldeten die Entdecker die Lücke an SAP. Vier Tage später wurde sie vorerst geschlossen und Version 1.5.1 des Servers veröffentlicht. Nach Tests von SAP und BSI wurde ein zweiter, zuverlässigerer Fix eingespielt. Aktuell ist die Version 1.6.0 des Servers. Auch in Belgien wird ein Fork der deutschen Corona-Warn-App eingesetzt. Der Fork entstand aber, bevor die Lücke im Code des Corona-App-Servers auftauchte. GitHub empfiehlt dennoch allen Ländern, die öffentliche oder private Forks des Servers betreiben, den Fix ebenfalls einzuspielen. [UPDATE: 19.11.20 15:00: Weitere Details eingepflegt] (mls) Zur Startseite Corona-Warn-App: Sicherheitslücke im Server
- Details
- Heise RSS Feed
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Sicherheitsinfos
Eine Lücke im Server-Backend der deutschen Corona-Warn-App ermöglichte eine Remote Code Execution (RCE). Die eigentliche App war davon nicht betroffen. Laut SAP wurde die Lücke nicht ausgenutzt. Personenbezogene Daten waren über die Schnittstelle nicht erreichbar. Zwar arbeitet die Kontakterkennung der Corona-Warn-App dezentral auf den Smartphones, aber die Verteilung der Zufallskennungen infizierter Personen an die App läuft über einen zentralen Server. Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript Sylvester Tremmel hat sich den Source-Code der Corona-Warn-App angeschaut und erklärt die Hintergründe der Lücke Die Lücke bestand in der Schnittstelle zur Übermittlung von positiven Testergebnissen an den Server. Diese ist öffentlich erreichbar und erfordert keine Authentifikation. Lediglich eine TAN für die Übermittlung eines positiven Ergebnisses ist nötig. Die TAN wird zwar von einem zusätzlichen Verifikationsserver geprüft, aber erst, nachdem Sie vom anfälligen Code verarbeitet wurde. Für die Nutzung Lücke war daher also kein positiver Corona-Test nötig. Schlimmstenfalls wäre es möglich gewesen, eigenen Code auf dem Server auszuführen und möglicherweise gefälschte Ergebnisse einzuschleusen. In einem Blog-Post schreibt SAP, dass die Beseitigung der Schwachstelle zeigt, dass "der Open-Source- sowie Community-Prozess einwandfrei funktioniert und zur Sicherheit des Betriebs der Corona-Warn-App entscheidend beiträgt." Fund durch GitHubs Security Lab Der Quellcode der App und der des Servers liegen öffentlich auf GitHub. Gefunden wurde die Lücke eher zufällig durch GitHubs Security Lab. Dessen Forscher hatten nach Mustern für "Java Bean Validation"-Lücken gesucht, um die Erkennungsmuster in die automatischen Code-Scanning-Werkzeuge der Plattform zu integrieren. Bei der Suche fanden sie auch die Lücke im Code für die Server der Corona-Warn-App. Dort wurde die Ausgabe einer Fehlermeldung als Code interpretiert. Nach dem Fund meldeten die Entdecker die Lücke an SAP. Vier Tage später wurde sie vorerst geschlossen und Version 1.5.1 des Servers veröffentlicht. Nach Tests von SAP und BSI wurde ein zweiter, zuverlässigerer Fix eingespielt. Aktuell ist die Version 1.6.0 des Servers. Auch in Belgien wird ein Fork der deutschen Corona-Warn-App eingesetzt. Der Fork entstand aber, bevor die Lücke im Code des Corona-App-Servers auftauchte. GitHub empfiehlt dennoch allen Ländern, die öffentliche oder private Forks des Servers betreiben, den Fix ebenfalls einzuspielen. [UPDATE: 19.11.20 15:00: Weitere Details eingepflegt] (mls) Zur Startseite - Zugriffe: 130