Aktuelle Meldungen

Public Security Test des SwissCovid Proximity Tracing Systems 2.0

8. Juli 2021 - Publikation des Abschlussberichts des NCSC

Abschlussbericht: Public Security Test des SwissCovid Proximity Tracing Systems 2.0 (PDF, 398 kB, 08.07.2021)

Meldungen zu Testergebnissen können weiterhin gemeldet werden unter:
Testergebnisse melden

Aktuelle Liste aller Findings

Stand: 16. März 2021

SwissCovid_Public_Security_Test_Current_Findings.pdf (PDF, 291 kB, 16.03.2021)

Da die Meldung [INR-4434] eine Zusammenstellung von verschiedenen Themen enthält, haben wir diese zusammengestellt und separat eingeschätzt. Unsere Zusammenfassung finden Sie hier:

INR-4434_NCSC_Risk_assessment (PDF, 373 kB, 18.06.2020)

Public Security Test des SwissCovid Proximity Tracing Systems 1.0

30. Juli 2020 - Heute wurde ein Patch für das Backend der SwissCovid App auf GitHub publiziert (https://github.com/DP-3T/dp3t-sdk-backend/security/advisories/GHSA-5m5q-3qw2-3xf3). Der Patch behebt ein Problem mit der Signaturprüfung des JSON Web Tokens (JWT alg: none). Das Backend der SwissCovid App wurde schon am Montag, 27. Juli 2020, auf diesen Stand aktualisiert.

17. Juli 2020 - Techniker des BIT haben heute ein Sicherheitsproblem in der SwissCovid App gelöst. Dieses Sicherheitsproblem führte dazu, dass Keys zu früh bereitgestellt wurden.

Mitigation:

Alle «Zukunfts-Keys» wurden aus der Datenbank entfernt und sind nicht mehr zum Download durch Mobiltelefone erhältlich. Der Vorgang war am Freitag 17.7.2020 um 14:55 abgeschlossen.
Ein internes Skript wurde als Ursache des Problems identifiziert. Des weiteren wurden die “täglichen zehn Fake Keys” deaktiviert.
Es wird ein Patch auf Github gestellt, welcher das “fake keys flag” entweder permanent deaktiviert oder sicherstellt dass nur Schlüssel aus der Vergangenheit generiert werden.

Wir möchten Paul-Oliver Dehaye für das Melden dieses Sicherheitsproblems danken!

Nachfolgend finden Sie den Abschlussbericht des Public Security Tests:

20200624_Final_Risk_Report_PST_NCSC-sig.pdf (PDF, 454 kB, 24.06.2020)

CSIRT BIT und GovCERT.ch haben während mehrerer Wochen alle Komponenten des SwissCovid Proximity Tracing Systems getestet. Die Risikoeinschätzung mit Empfehlungen finden Sie hier:

Risk-Estimation-Proximity-Tracing_Signed (PDF, 168 kB, 27.05.2020)

Der folgende Anhang gibt einen Überblick über die verschiedenen Schwachstellen, die vom GovCERT und CSIRT-BIT gefunden wurden und dem Projekt zur Behebung übergeben wurden.

Risk-Estimation-Proximity-Tracing_Appendix_Signed (PDF, 413 kB, 12.06.2020)

Während des öffentlichen Sicherheitstests (Public Security Test) wiesen verschiedene Tester darauf hin, dass eine Gefahr von sog. Replay-Angriffen bestehe, welche ein ernsthaftes Sicherheitsproblem darstellen könne. Wir möchten deshalb ein Licht auf diese Art von Angriffen werfen, um die tatsächliche Bedrohung aufzuzeigen, die von dieser Art von Angriffen ausgehen kann:

Replay-Attacke-Risk-Estimation_Public_Signed.pdf (PDF, 225 kB, 15.06.2020)