Een beveiligingslek in de server van de Duitse corona-app maakte het mogelijk voor aanvallers om op afstand en zonder authenticatie willekeurige code uit te voeren en bijvoorbeeld databasewachtwoorden te stelen. Dat ontdekten onderzoekers van GitHub Security Lab.

Net als de Nederlandse CoronaMelder kunnen gebruikers van de Duitse Corona-Warn-App, wanneer bevestigd is dat ze met corona zijn besmet, een code invoeren wanneer hun codes naar een centrale server worden gestuurd. Deze server controleert of de diagnosesleutels van de gebruiker wel geldig zijn. Bij het valideren van deze data ging de server de fout in en was het voor een aanvaller mogelijk om willekeurige Java-code of systeemcommando's op de Corona-Warn-App-server uit te voeren. Op deze manier was het bijvoorbeeld mogelijk om databasewachtwoorden te stelen.

Het onderliggende probleem heeft met Java Bean Validation te maken en zorgt ervoor dat de invoer van een aanvaller zo wordt verwerkt dat het uitvoeren van willekeurige Java-code mogelijk maakt. Een probleem waar GitHub in juli van dit jaar voor waarschuwde. Onderzoekers besloten naar projecten op GitHub te kijken die met dit probleem te maken hebben. Recentelijk werd deze scan herhaald, waarbij bleek dat de Corona-Warn-App kwetsbaar was.

"De kwetsbaarheid had de potentie om de integriteit van de Duitse coronareactie te beïnvloeden en rechtvaardigde een directe respons van ons team", zegt Alvaro Muñoz van GitHub Security Lab. Het beveiligingslek werd op 21 oktober aan SAP gerapporteerd, de ontwikkelaar van de Duitse corona-app. Op 27 oktober werd een beveiligingsupdate uitgerold, gevolgd door een meer robuuste fix op 1 november.