Daten in Systemprotokollen

Deshalb ist die SwissCovid-App unsicher

Uhr
von Rodolphe Koller und Übersetzung: Maximilian Schenner

Googles Benachrichtigungssystem, das von SwissCovid und anderen Tracking-Apps verwendet wird, enthält eine Schwachstelle. Drittanbieter-Apps können auf sensible Daten zugreifen und daraus ableiten, wer infiziert oder gefährdet ist. Die niederländische Regierung hat ihre App bereits vorübergehend ausgesetzt.

Google aktualisiert das Benachrichtigungssystem für gefährdete Kontakte auf allen Android-Smartphones. Der Schritt erfolgt auf die Entdeckung einer Schwachstelle durch die IT-Sicherheitsfirma AppCensus, die das System im Auftrag des US-Ministeriums für innere Sicherheit geprüft hat.

Joel Reardon von AppCensus fand heraus, dass das Tool, auf das sich viele Kontaktverfolgungs-Apps verlassen - darunter auch die Schweizer Lösung SwissCovid - sensible Daten in den Systemprotokollen der Geräte aufzeichnet. Der Haken an der Sache ist, dass einige vorinstallierte Apps auf Android-Geräten, darunter auch jene von Smartphone-Herstellern und Telekommunikationsbetreibern, auf diese Protokolle zugreifen können. Der Fehler, der Android und nicht iOS betrifft, widerspricht dem Versprechen, dass niemand Zugriff auf die hochsensiblen Daten von Tracking-Apps hat.

Nach der Entdeckung beschloss das niederländische Gesundheitsministerium, seine Corona-App vorübergehend zu deaktivieren. Das BAG teilt indes auf Anfrage mit, dass ihm diese Sicherheitslücke bekannt sei und der Patch von Google bereitgestellt werde.

Zur Erinnerung: Contact Tracing Apps mehrerer Länder setzen auf die von Google und Apple im Frühjahr 2020 eilig entwickelte "Exposure Notification"-API. Dieses im Hintergrund laufende Tool dient dazu, zufällige Codes über Bluetooth auszugeben und Codes von anderen Benutzern in der Nähe aufzuzeichnen. Durch den Vergleich der wahrgenommenen Codes und der positiven Fallcodes bewerten die Tracking-Apps das Risiko, dem die Nutzerinnen und Nutzer ausgesetzt waren. Die Lösung hat den Vorteil, dass sie keinen Standort verwendet und keine Benutzerdaten weitergibt.

Die von Joel Reardon entdeckte Sicherheitslücke macht es jedoch möglich, dass auf dem Smartphone installierte Drittanbieter-Apps auf sensible Daten zugreifen und daraus ableiten können, welche Nutzerinnen und Nutzer positiv auf das Coronavirus getestet wurden oder Kontakt mit einer positiv getesteten Person hatten. Reardon fügt auf Anfrage hinzu, dass durch die Kopplung dieser Informationen mit MAC-Adressdatenbanken sogar Rückschlüsse auf den Standort der Benutzerinnen und Benutzer möglich wären.

Bislang haben 3 Millionen Menschen die SwissCovid-App heruntergeladen. Nur etwas mehr als jeder und jede Zweite hat die App aktiviert. Nicht immer tragen Nutzerinnen und Nutzer den Covid-Code in die App ein, wie Sie hier lesen können.

Tags
Webcode
DPF8_215702