PolicyWatch

Sikkerhedsselskab: Der snydes nu med coronapasset

Blot tre dage efter lanceringen af den nye corona-app sælger brugerne nu gyldige QR-koder på sociale medier. Det kræver blot et screenshot at snyde. Ændring af app'en på vej.

Foto: PR

Da den nye corona-app blev lanceret i fredags, blev den kritiseret for at være alt for let at snyde med. Det kræver blot et screenshot og et pokerface.

Nu viser det sig, at nogle danskere allerede har grebet muligheden. Hen over weekenden er coronapas-indehavere begyndt at sælge gyldige QR-koder på sociale medier. Koderne gælder i en time og giver adgang til alle de steder, der i dag kræver coronapas. Det kan være restauranter, barer og sportsbegivenheder.

"Det går lynhurtigt. Hen over weekenden har vi allerede set de første eksempler på danskere, der sælger QR-koder i lukkede grupper på sociale medier. Det bliver misbrugt allerede," siger sikkerhedseksperten Peter Kruse fra sikkerhedsfirmaet CSIS.

Coronapas-appen giver brugerne et gyldigt coronapas i 72 timer efter en negativ test, 14 dage efter første vaccinationsstik eller otte måneder efter, man har haft sygdommen. Rent praktisk genererer app'en en QR-kode, som andre så kan scanne.

Men der er hverken billede eller navn ved, så brugerne kan blot tage et screenshot af en QR-kode og sende det til en ven – eller en køber. Herefter kan køberne i en time bruge QR-koden til at komme ind og se fodbold eller til koncert. For det utrænede øje er det let at overse, at der er tale om et screenshot, ikke den rigtige app.

Peter Kruse fremhæver, at sikkerhedsproblemet er svært at komme uden om, for appen skal gerne kunne bruges offline, og så er det svært at lave dynamisk generering af QR-koder.

"Men man kunne jo have indbygget i appen, at den skulle trække et billede af brugerne fra f.eks. kørekort-appen. Man skulle jo gerne kunne identificere brugeren," siger han.

Styrelse er opmærksom

I Sundhedsdatastyrelsen er direktør Lisbeth Nielsen opmærksom på, at der kan snydes med appen.

"Vi er bekendte med problemstillingen, og QR-koden i coronapasset har netop derfor en kort levetid og bliver fornyet hver time for at forhindre, at den deles med andre borgere med henblik på misbrug," siger hun.

Hun minder samtidig om, at et screenshot fra en anden person ikke er et gyldigt coronapas, men derimod dokumentfalsk.

"Ved visuel inspektion af coronapas, skal kontrolløren sikre sig, at der er vandmærker, der reagerer på bevægelse. Bevægelige vandmærker kender vi også fra fx fysiske legitimationskort. De er netop indbygget for at sikre mod misbrug ved hjælp af screenshots," siger hun.

Der arbejdes på at videreudvikle appen, så man på Android-telefoner ikke kan tage screenshots, mens det på iPhones bliver besværliggjort, fortæller hun.

Det er Trifork og Netcompany, der har udviklet appen på ordre fra Digitaliseringsstyrelsen, Sundhedsdatastyrelsen, Sundhedsministeriet og Statens Serum Institut og ventes at koste op mod 50 mio. kr.

Appen blev fredag frigivet til Android og iOS.

Dansk udvikling af coronapas-app vækker opsigt i udlandet

Det nye digitale coronapas kan nu downloades 

Mere fra PolicyWatch

Læs også

Relaterede

Trial banner

Seneste nyt

Se flere jobs

Seneste nyt fra Watch Medier