Open-Source-Ansatz funktioniert: Experten finden Sicherheitslücke in den Servern der Corona-Warn-App
Ein großer Vorteil von Open-Source-Projekten ist es, dass jeder Zugriff auf den Code hat und diesen auf Schwachstellen prüfen kann. Jemand, der gewissermaßen den ganzen Tag nichts anderes macht, ist Alvaro Munoz vom GitHub Security Lab. Nun fand der Cybersecurity-Experte eine Sicherheitslücke in der Infrastruktur der Corona-Warn-App. Was sich erst einmal problematisch anhört, ist aber auch ein deutlicher Hinweis darauf, dass die Entscheidung für einen Open-Source-Ansatz richtig war.
Sicherheitslücke in den Servern
Wie auch GitLab oder BitBucket ist GitHub eine Plattform zur Versionsverwaltung von Softwareprojekten. Vor etwa einem Jahr wurde dann das GitHub Security Lab ins Leben gerufen. Die Zielsetzung: Open-Source-Software soll sicherer gemacht werden.
Im Sommer 2020 befassten Alvaro Munoz und sein Team sich mit den Auswirkungen unsicherer Verwendungsmuster einer API zur Implementierung von Validierungsmechanismen in Java-Applikationen. Mehrere Wochen später stießen die Experten dann im Projekt des VCorona-Warn-App-Servers auf dieselben als unsicher klassifizierten Verwendungsmuster.
Ursache der Schwachstelle ist eine unsicher eStelle im Code des Validierungsmechanismus für Nutzereingaben. Für Nutzereingaben und die Validierung derselben wird in dem Projekt eine Schnittstelle namens Java Bean Validation API verwendet. Nutzereingaben sind im Falle der Corona-Warn-App unter anderem auch das Teilen eines positiven Testergebnisses.
Bereits im Juni 2020 hat Munoz in einem Blogpost beschrieben, wie die unsicheren Verwendungsmuster eine sogenannte RCE-Schwachstelle in dem verwendeten Framework führen können. RCE steht dabei für Remote Code Execution. Derartige Schwachstellen dienen als Einfallstor für Cyber-Attacken.
Entwickler reagierten zeitnah
Und auch im Repository des deutschen Corona-Warn-App-Servers fanden die Forscher eine solche Schwachstelle. Damit reihte sich das Repository in eine Reihe von Projekten ein, in denen die Experten fündig wurden. Im Falle der Corona-Warn-App und der dahinterstehenden Server wäre es möglich gewesen, die RCE-Schwachstelle mit einem positiven Covid-19-Test auszunutzen. Wer sich für die genauen Hintergründe interessiert, kann diese in Munoz’ Blog nachlesen. Aber Achtung, ein wenig IT-Wissen ist unabdingbar.
Am 21. Oktober 2020 informierte Munoz das verantwortliche Entwicklerteam bei SAP über die Schwachstelle im Code. Bereits am 28. Oktober konnte das Entwickler-Team das Problem beheben. Am 09. November wurde die Schwachstelle endgültig geschlossen.
Wie genau die Sicherheitslücke sich hätte auswirken können, kann nicht genau gesagt werden. Die Integrität der Corona-App war allerdings in jedem Fall gefährdet. Allerdings betonten die Experten auch, dass es sich um eine Schwachstelle im Backend der Corona-Warn-App handelte. Die Datensicherheit der mobilen App war zu keinem Zeitpunkt gefährdet – was auch schwierig ist, da die App außer der IP-Adresse der verwendeten Geräte keine persönlichen Daten überträgt.
Dass die Schwachstelle entdeckt und so schnell behoben werden konnte, macht die Vorteile des Open-Source-Ansatzes klar, der auch im Falle der Corona-Warn-App verwendet wurde. Bei einem geschlossenen Projekt wäre dies so nicht möglich gewesen.
