Diese 10 Corona Warn App Domains haben wir registriert um Betrüger zu stoppen!


Cyber Kriminelle schrecken nicht davor zurück die Pandemie zum Anlass zu nehmen um Sorgen und Ängste auszunutzen. Immer mit dem Ziel sich selber zu bereichern – um dieser Masche zuvorzukommen hat die AWARE7 GmbH 10 Domains registriert, die ein hohes Missbrauchspotenzial in Bezug zur Corona Warn App gehabt hätten.

Corona Warn App kostet 20 Millionen Euro. Budget für Betrugsprävention ist jedoch sehr klein.

Die letzten Wochen haben für viel Aufregung gesorgt. Die Telekom und SAP haben gemeinsam mit anderen Partnern, eine Corona Warn App auf die Beine gestellt. Die Kosten dafür wurden in der Gesellschaft vielfach diskutiert. Ein hohes Maß an IT-Sicherheit und die absehbare, notwendige Skalierbarkeit sind jedoch, in Anbetracht des Zeitdrucks, außergewöhnliche Anforderungen.


Deep Dive ins Darknet – Suchmaschinen, Browser und Nutzen!

Jetzt kostenfrei zum Webinar anmelden und am 29.01.2021 von 10:00 – 10:30 Uhr teilnehmen.



Corona Warn App
Es gibt zahlreiche Internetadressen die nicht registriert worden sind. Die AWARE7 hat 10 aus dem Feld genommen.

Wir von der AWARE7 GmbH kritisieren, dass nicht ausreichend Domains registriert worden sind. Auch wenn wenige Domains ausreichen eine Domain verfügbar zu machen, so ist es sinnvoll mehr als notwendig zu registrieren. Damit lässt sich der Betrug und Missbrauch der App eindämmen. Insbesondere in einem hochskalierten Projekt, dass tendenziell über eine Millionen Nutzer erreichen soll und Gesundheitsdaten verarbeitet. Aus diesem Grund hat sich das Team der AWARE7 GmbH entschlossen 10 Domains zu registrieren, die von Kriminellen genutzt hätten werden können um falsche Apps unter Interessierten zu verteilen. Folgende Domains haben wir registriert:

  • corona-warm-app.de
  • curona-warn-app.de
  • corona-warpp-app-de.com
  • covid-warn-app.de
  • corona-vvarn-app.de
  • corona-warn.info
  • coronavirus-warn-app.de
  • covid19-warn-app.de
  • conora-warn-app.de

Wir haben die Domains für mindestens ein Jahr registriert. Falls die Pandemie in einem Jahr nach wie vor ein Thema der allgemeinen Bevölkerung ist, so werden wir die Domains entsprechend verlängern, um Cyber Kriminellen mit diesen Internetadressen die Chance zu nehmen.

Prävention ist besser als Reaktion!

Einige Probleme lassen sich beseitigen, bevor sie zum Problem werden. Dass hat das Problem rund um Fake News und Corona bereits gezeigt! Eine hilfreiche Maßnahme ist die Registrierung täuschend echter Internetadressen. Wer im Besitz täuschend echter Adressen ist, der kann mit einem geringen Aufwand Werbung in sozialen Netzwerken schalten um so die App unter die Menschen zu bekommen. Betrüger haben beispielsweise mit Domains rund um die Soforthilfe in NRW für einen Stopp der Auszahlung gesorgt. Dies hatte schwerwiegende Folgen: Laut Ministerium sind 3.500 bis 4.000 Solo-Selbstständige und Kleinstbetriebe in NRW betroffen gewesen. Auch die Antragsstellung wurde gestoppt und die Soforthilfe-Seiten kurzfristig vom Netz genommen

Die richtige Corona Warn App kann unter folgenden Links heruntergeladen werden:

  • Hier geht es zur (richtigen) Corona-Warn-App für iOS.
  • Hier geht es zur (richtigen) Corona-Warn-App für Android.

Auch Corona App ist nicht frei von technischen Mängeln

Bei der näheren Betrachtung der Corona Warn App selber fällt vor allem die Kommunikation mit zwei Servern auf. Diese wird verwendet um Daten über Infizierte abzurufen und die eigenen Testergebnisse hochzuladen:

  • submission.coronawarn.app
  • verification.coronawarn.app

Bei der näheren Untersuchung der beiden Server, mit dem Tool sslscan, fallen Ungereimtheiten auf, welche bisher in der Berichterstattung nicht zur Geltung kamen. Dabei verwendet submission.coronawarn.app eine verbesserungswürdige Konfiguration von TLS – das Protokoll welches im Internet zur Verschlüsselung von Übertragungen genutzt wird.

Corona-Warn-App - unsichere TLS Konfiguration
Corona-Warn-App – unsichere TLS Konfiguration

Dieses Protokoll sichert die Übertragung der Testergebnisse zwischen dem Smartphone und dem Server ab. Wie im Screenshot oben zu sehen unterstützt der Webserver kein TLS Fallback SCSV. Dieses dient dazu Downgrade Angriffe auf die Verbindung zu unterbinden.

Viel Schwerer wirkt aber die Wahl eines nur 1024Bit langen DHE Schlüssels, welches den Empfehlungen des BSI widerspricht. Das BSI empfiehlt den Einsatz eines mindestens doppelt so langen Schlüssels. Diffie-Hellman ist ein verfahren welches bei jedem Verbindungsaufbau dazu genutzt wird einen Schlüssel für die sichere Kommunikation auszutauschen. Wenn dieser Schlüssel also nun „geknackt“ werden würde, könnten alle Verbindungen zum Server hin mitgelesen werden.

Corona-Warn-App - unsichere HTTP Header
Corona-Warn-App – unsichere HTTP Header

Neben den Fehlern bei der Konfiguration von TLS gab es bei beiden Servern noch unterschiedlich eingerichtete HTTP-Header. So hat der Webserver verification.coronawarn.app keine HTTP-Header gesetzt. Welche Header alle bei diesem Server fehlen lässt sich sehr schön auf dem obigen Screenshot sehen.

Interessant an diesen beiden Sicherheitsauffälligkeiten ist, dass die beiden Server unterschiedlich eingerichtet sind. Fehler wie die TLS-Konfiguration sind auf dem Server submission.coronawarn.app vorhanden aber auf dem verification.coronawarn.app Server nicht. Umgekehrt verhält es sich bei den falsch konfigurierten HTTP-Header. Bei beiden Sicherheitsauffälligkeiten handelt es sich um Konfigurationsfehler welche eigentlich in jedem Security-Guide behandelt werden und somit nicht vorkommen sollten. Eine direkte Gefahr für die Benutzer der App entsteht dadurch aber nicht.




Apple App StoreAndroid Play Store


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast