Deshalb ist die SwissCovid-App unsicher
Googles Benachrichtigungssystem, das von SwissCovid und anderen Tracking-Apps verwendet wird, enthält eine Schwachstelle. Drittanbieter-Apps können auf sensible Daten zugreifen und daraus ableiten, wer infiziert oder gefährdet ist. Die niederländische Regierung hat ihre App bereits vorübergehend ausgesetzt.
Google aktualisiert das Benachrichtigungssystem für gefährdete Kontakte auf allen Android-Smartphones. Der Schritt erfolgt auf die Entdeckung einer Schwachstelle durch die IT-Sicherheitsfirma AppCensus, die das System im Auftrag des US-Ministeriums für innere Sicherheit geprüft hat.
Joel Reardon von AppCensus fand heraus, dass das Tool, auf das sich viele Kontaktverfolgungs-Apps verlassen - darunter auch die Schweizer Lösung SwissCovid - sensible Daten in den Systemprotokollen der Geräte aufzeichnet. Der Haken an der Sache ist, dass einige vorinstallierte Apps auf Android-Geräten, darunter auch jene von Smartphone-Herstellern und Telekommunikationsbetreibern, auf diese Protokolle zugreifen können. Der Fehler, der Android und nicht iOS betrifft, widerspricht dem Versprechen, dass niemand Zugriff auf die hochsensiblen Daten von Tracking-Apps hat.
Nach der Entdeckung beschloss das niederländische Gesundheitsministerium, seine Corona-App vorübergehend zu deaktivieren. Das BAG teilt indes auf Anfrage mit, dass ihm diese Sicherheitslücke bekannt sei und der Patch von Google bereitgestellt werde.
Zur Erinnerung: Contact Tracing Apps mehrerer Länder setzen auf die von Google und Apple im Frühjahr 2020 eilig entwickelte "Exposure Notification"-API. Dieses im Hintergrund laufende Tool dient dazu, zufällige Codes über Bluetooth auszugeben und Codes von anderen Benutzern in der Nähe aufzuzeichnen. Durch den Vergleich der wahrgenommenen Codes und der positiven Fallcodes bewerten die Tracking-Apps das Risiko, dem die Nutzerinnen und Nutzer ausgesetzt waren. Die Lösung hat den Vorteil, dass sie keinen Standort verwendet und keine Benutzerdaten weitergibt.
Die von Joel Reardon entdeckte Sicherheitslücke macht es jedoch möglich, dass auf dem Smartphone installierte Drittanbieter-Apps auf sensible Daten zugreifen und daraus ableiten können, welche Nutzerinnen und Nutzer positiv auf das Coronavirus getestet wurden oder Kontakt mit einer positiv getesteten Person hatten. Reardon fügt auf Anfrage hinzu, dass durch die Kopplung dieser Informationen mit MAC-Adressdatenbanken sogar Rückschlüsse auf den Standort der Benutzerinnen und Benutzer möglich wären.
Update: OpenAI sagt Tschüss zum KI-Videogenerator Sora
Klarheit zeigt Wirkung: Wie SRF seine Organisation ausgerichtet hat und weiterdenkt
Hybride Meetings im Jahr 2026: Es kommt nach wie vor auf die Technik an
Wenn Natur keine Gnade kennt
Betrüger nutzen Not Stellensuchender aus
Abraxas sucht neue Führung für Softwareentwicklung und KI
Viseca und Cornercard greifen mit Payinit im P2P-Markt an
KI in der Schweiz: Umsetzung jetzt entscheidend
Massgeschneiderte KI-Anwendungen fordern die Cyberabwehr heraus
