Mit der heute von der Telekom und der Firma BS Software Development bereitgestellten App können die Resultate von Covid-19-Tests kommuniziert werden. Leider hat das an sich hilfreiche Programm gravierende Sicherheitsmängel.

So prüft es beispielsweise bei der Verbindung zum Server das Zertifikat nicht. Damit können Angreifer die übertragenen Daten mitlesen oder manipulieren.

Die Benutzer der App geben entweder manuell oder durch Scannen eines QR-Codes eine Kennung ein, dann wird eine Verbindung zum Telekom-Server aufgebaut.

Diese Verbindung erfolgt zwar über HTTPS, allerdings wird das Zertifikat dabei nicht geprüft. Laut der Computerzeitschrift c’t war auf dem Server ein schon mehrere Jahre abgelaufenes Zertifikat installiert.