ITWatch

Sikkerhedsselskab: Der snydes nu med coronapasset

Blot få dage efter lanceringen af den nye corona-app, sælger brugerne nu gyldige QR-koder på sociale medier. Det kræver blot et screenshot at snyde. Ændring af appen på vej.

Foto: PR

Da den nye corona-app blev lanceret i fredags, blev den kritiseret for at være alt for let at snyde med. Det kræver blot et screenshot og et pokerface.

Nu viser det sig, at nogle danskere allerede har grebet muligheden. Henover weekenden er coronapas-indehavere begyndt at sælge gyldige QR-koder på sociale medier. Koderne gælder i en time og giver adgang til alle de steder, der i dag kræver coronapas. Det kan være restauranter, barer og sportsbegivenheder.

"Det går lynhurtigt. Henover weekenden har vi allerede set de første eksempler på danskere, der sælger QR-koder i lukkede grupper på sociale medier. Det bliver misbrugt allerede," siger sikkerhedseksperten Peter Kruse fra sikkerhedsfirmaet CSIS.

Coronapas-appen giver brugerne et gyldigt coronapas i 72 timer efter en negativ test, 14 dage efter første vaccinationsstik eller otte måneder efter, man har haft sygdommen. Rent praktisk genererer appen en QR-kode, som andre så kan scanne.

Men der er hverken billede eller navn ved, så brugerne kan blot tage et screenshot af en QR-kode og sende det til en ven – eller en køber. Herefter kan køberne i en time bruge QR-koden til at komme ind og se fodbold eller til koncert. For det utrænede øje er det let at overse, at der er tale om et screenshot, ikke den rigtige app.

Peter Kruse fremhæver, at sikkerhedsproblemet er svært at komme udenom, for appen skal gerne kunne bruges offline, og så er det svært at lave dynamisk generering af QR-koder.

"Men man kunne jo have indbygget i appen, at den skulle trække et billede af brugerne fra fx kørekort-appen. Man skulle jo gerne kunne identificere brugeren," siger han.

Styrelse er opmærksom

I Sundhedsdatastyrelsen er direktør Lisbeth Nielsen opmærksom på, at der kan snydes med appen.

"Vi er bekendte med problemstillingen, og QR-koden i coronapasset har netop derfor en kort levetid og bliver fornyet hver time for at forhindre, at den deles med andre borgere med henblik på misbrug," siger hun.

Hun minder samtidig om, at et screenshot fra en anden person ikke er et gyldigt coronapas, men derimod dokumentfalsk.

"Ved visuel inspektion af coronapas, skal kontrolløren sikre sig, at der er vandmærker, der reagerer på bevægelse. Bevægelige vandmærker kender vi også fra eksempelvis fysiske legitimationskort. De er netop indbygget for at sikre mod misbrug ved hjælp af screenshots," siger hun.

Der arbejdes på at videreudvikle appen, så man på Android-telefoner ikke kan tage screenshots, mens det på iPhones bliver besværliggjort, fortæller hun.

Det er Trifork og Netcompany, der har udviklet appen på ordre fra Digitaliseringsstyrelsen, Sundhedsdatastyrelsen, Sundhedsministeriet og Statens Serum Institut og ventes at koste op mod 50 mio. kr.

Appen blev fredag frigivet til Android og iOS.

Dansk udvikling af coronapas-app vækker opsigt i udlandet

Det nye digitale coronapas kan nu downloades 

Mere fra ITWatch

Dansk landechef for Oracle stopper

Det bliver et ryk opad for den danske landechef for Oracle, der fremover skal fokusere på østeuropa. Ingrid Mjøen har været hos Oracle i Danmark i små 17 år.

Læs også

Relaterede

Seneste nyt

Se flere jobs