30. Juli 2020 - Heute wurde ein Patch für das Backend der SwissCovid App auf GitHub publiziert (https://github.com/DP-3T/dp3t-sdk-backend/security/advisories/GHSA-5m5q-3qw2-3xf3). Der Patch behebt ein Problem mit der Signaturprüfung des JSON Web Tokens (JWT alg: none). Das Backend der SwissCovid App wurde schon am Montag, 27. Juli 2020, auf diesen Stand aktualisiert.
17. Juli 2020 - Techniker des BIT haben heute ein Sicherheitsproblem in der SwissCovid App gelöst. Dieses Sicherheitsproblem führte dazu, dass Keys zu früh bereitgestellt wurden.
Mitigation:
- Alle «Zukunfts-Keys» wurden aus der Datenbank entfernt und sind nicht mehr zum Download durch Mobiltelefone erhältlich. Der Vorgang war am Freitag 17.7.2020 um 14:55 abgeschlossen.
- Ein internes Skript wurde als Ursache des Problems identifizuiert. Des weiteren wurden die “täglichen zehn Fake Keys” deaktiviert.
- Es wird ein Patch auf Github gestellt, welcher das “fake keys flag” entweder permanent deaktiviert oder sicherstellt dass nur Schlüssel aus der Vergangenheit generiert werden.
Wir möchten Paul-Oliver Dehaye für das Melden dieses Sicherheitsproblems danken!