eyecatchup/cwa-testnachweis

Place disclaimer on top of the website

Closed this issue · 9 comments

Hi 👋

I suggest to place the disclaimer on top of the website.
You show pretty well that the Corona-Warn-App has a design and privacy/security flaw here. But I see a high risk that this website could be abused from people who don't want to get tested.
Also, a disclaimer should be added inside of the "Schnelltest" box.

Thanks for getting in touch and sharing your thoughts. Since I'm more comfortable, I'll switch to German.

Ich verstehe dein Anliegen, Tim. Aber ich sehe nicht, dass die vorgeschlagene Änderung den von dir bezeichneten Design Flaw in der CWA Implementierung der Schnelltestergebnisse adäquat adressiert. Dieses Seite wurde in wenigen Stunden erstellt, und jeder könnte das gleiche wieder tun.

Nun will ich auf der einen Seite, wie im Disclaimer beschrieben, natürlich niemanden dazu ermutigen, die Seite tatsächlich zu benutzen. Andererseits würde ich meinen "PoC" gerne möglichst veranschaulichend lassen. Wenn ich den Disclaimer wie gewünscht umplatziere, nimmt dies viel von der beabsichtigten Ähnlichkeit zur echten CWA.

Ich würde den Aufbau daher eigentlich ungern ändern (solange hierzu keine offizielle Anfrage kommt). Um deinen durchaus validen Punkt aber zu adressieren, schlage ich folgendes Overlay vor:

Bildschirmfoto 2021-05-26 um 15 13 49

Der Schriftzug "Muster" liegt fixed über der gesamten App positioniert. So ist klar ersichtlich, dass dies nicht das Original sein kann. Dennoch bleibt der Aufbau klar verwechselbar mit der echten CWA.

Thoughts?

@eyecatchup

Dein Vorschlag klingt auch gut, für mich absolut in Ordnung.
Ich verstehe deine gut gemeinte Intention hinter diesem Projekt, du zeigst ziemlich gut auf das die CWA hier ein großes Problem hat.
Sobald der Schriftzug "Muster" über der Website liegt würde ich einen Issue in https://github.com/corona-warn-app/cwa-documentation einfach als Bug Report das man das verbessern muss.
Du kannst natürlich auch einen Issue öffnen.

Ich finde insgesamt das eine angemessene Maßnahme, um Missbrauch vorzubeugen.

Zwar ist klar, dass man im Browser-Inspektor jederzeit das Element wieder entfernen könnte. Dabei ist der Aufwand allerdings fast genauso groß klein wie die Manipulation eines echten negativen Testergebnisses (isf. als PDF vorliegend) zur Abänderung der eingetragenen Daten.

Zwar ist klar, dass man im Browser-Inspektor jederzeit das Element wieder entfernen könnte.

Dann müsste man sein Handy ja immer erst an den Rechner anschließen. Unrealistisch. Ich würde eher dieses Repo klonen und die eine Zeile entfernen. ;) Aber gut.

Dabei ist der Aufwand allerdings fast genauso groß klein wie die Manipulation eines echten negativen Testergebnisses (isf. als PDF vorliegend)

Die Fälschung einer der Testverordnung entsprechend konformen Testbescheinigung ist allerdings eine Urkundenfälschung.


Sobald der Schriftzug "Muster" über der Website liegt

Kommt gleich.. Ich schließe das Ticket im Anschluss.

würde ich einen Issue in https://github.com/corona-warn-app/cwa-documentation einfach als Bug Report das man das verbessern muss.

Das würde ich mit Spannung verfolgen..

Du kannst natürlich auch einen Issue öffnen.

Danke, aber mein Feedback verschallte bisher immer ungehört.

Danke fürs implementieren! Issue im Documentation repo folgt.

What do you think of this @eyecatchup:

Current Implementation

Since version 2.1 it is possible to register rapid antigen tests into the app.
Besides of the warning functionality for positive tests, which we already know from PCR-Tests, negative RAT can also be used as a proof that a rapid test was done and it returned negative.
To use the proof feature, you have to allow that the participating test station transfers your name as well as your date of birth into the Corona-Warn-App.
If you now want to, e.g. enter a restaurant, you can proof the negative rapid antigen test with the Corona-Warn-App, which will show a screen like this:
image

Problem

Currently, the app provides no cryptographic proof that certifies the authenticity of the test result.
Everybody could build a (web-)application which looks like the Corona-Warn-App and always shows a negative rapid antigen test.
As a demonstration you can take a look at this website which does this, you can enter your name and your date of birth and it gets nearly impossible to identify the “fake”

Threat

This is a thread since people who were not tested could grant access to events, etc. that require a negative test result.


Does this cover the problem? If you want to add something just lemme know.

Sounds good

@eyecatchup I opened an issue in the wishlist repo.