Spezialist:innen von F-Secure ist es gelungen, das Ergebnis eines Corona-Selbsttests für zu Hause zu fälschen. In der Folge ließ sich ein falsches Resultat ausstellen und zu einer Stelle schicken, die es zertifizierte. Die Expert:innen hatten „Ellume COVID-19 Home Test“ ausgewählt, weil das Analysegerät über Bluetooth mit einem Smartphone verbunden ist. Das ermöglicht Remotefunktionen über eine App – und den Hack. Der Hersteller des Selbsttests hat bereits reagiert und die Lücke geschlossen.
Manipulation des Datenverkehrs
Die IT-Spezialist:innen analysierten zunächst den Datenverkehr zwischen dem Testgerät und dem Smartphone. Sie fanden heraus, welche Daten der Übermittlung von Testergebnissen dienen. Anschließend änderten sie den Byte-Wert im Teststatus. Auf seiner Grundlage mussten sie neue CRC- und Prüfsummenwerte berechnen und injizieren, bevor die Daten bei der App ankommen. Es gelang den Profis, ein negatives Ergebnis in ein positives umzuwandeln. Die Daten übernahm auch das Unternehmen Azova, das Covid-Tests zertifiziert, damit Reisende in die USA einreisen dürfen.
Ellume aktualisiert Systeme und baut Verifizierungsportal
F-Secure nahm nach den Tests Kontakt zu Ellume auf und erklärte die Vorgehensweise. Der Hersteller hörte zu und setzte die Hinweise direkt um. Alan Fox, Leiter für den Bereich Informationssysteme, sagte The Register, man habe nicht nur das System aktualisiert, um Fälschungen zu erkennen und verhindern zu können, sondern auch alle bisherigen Resultate überprüft. Es sei ansonsten zu keinen falschen Ergebnissen gekommen. Außerdem kündigte er ein Verifizierungsportal an, das Gesundheitsämtern, Arbeitgebern, Veranstaltern und Behörden Echtheitsüberprüfungen an die Hand geben soll. Ellume betonte, die Tests seien jetzt noch sicherer im Gegensatz zu analogen Teststäbchen, die man einfach mit einer beliebigen Flüssigkeit benetzen könne, um das Ergebnis zu verfälschen.