Eine Sicherheitslücke im Server-Backend der deutschen Corona-Warn-App ermöglichte eine Remote Code Execution (RCE). Die eigentliche App war davon nicht betroffen. Laut SAP wurde die Lücke nicht ausgenutzt. Personenbezogene Daten waren über die Schnittstelle nicht erreichbar.
Die Lücke bestand in der Schnittstelle zur Übermittlung von positiven Testergebnissen an den Server. Diese ist öffentlich erreichbar und erfordert keine Authentifikation. Lediglich eine TAN für die Übermittlung eines positiven Ergebnisses ist nötig. Die TAN wird zwar von einem zusätzlichen Verifikationsserver geprüft, aber erst, nachdem Sie vom anfälligen Code verarbeitet wurde. Für die Nutzung Lücke war daher also kein positiver Corona-Test nötig.
Die gefundene Sicherheitslücke wurde an SAP gemeldet. Vier Tage später wurde sie vorerst geschlossen und Version 1.5.1 des Servers veröffentlicht. Nach Tests von SAP und BSI wurde ein zweiter, zuverlässigerer Fix eingespielt.
Aktuell ist die Version 1.6.0 des Servers.