2584197

Sicherheitsproblem bei Corona-Warn-App, nur Android-Version war betroffen

30.04.2021 | 14:20 Uhr | Stephan Wiesend

Das System, auf dem die Corona-Warn-App basiert, hatte laut Sicherheitsforschern eine Sicherheitslücke. Unter Android war der Zugriff von bestimmten Drittprogrammen möglich.

Die Initiative selbst kann nicht oft genug gelobt werden: Um die Pandemie zu bekämpfen entwickelten Google und Apple gemeinsam ein sogenanntes Exposure Notification System (GAEN) , dass versucht Kontakte mit Infizierten zu erkennen. Dieses in iOS und Android verankerte System protokolliert Kontakte, basiert auf Bluetooth und ist die Grundlage der deutschen Corona-Warn-App und vielen anderer  Corona-Apps.

Ein Versprechen beider Konzerne: Alle Daten bleiben auf dem Smartphone des Nutzers, nur der Anwender kann eine Infektion melden. Andere Geräte werden anonymisiert und selbst Google und Apple haben keinen Zugriff auf diese Daten.

FAQ zur Corona-Warn-App

Wie jetzt Joel Reardon von App Census gegenüber "The Markup" erklärte, gab es unter Android aber eine Sicherheitslücke . Um die Kontakte eines Smartphone-Nutzers zu protokollieren, werden Bluetooth-Daten anderer Nutzer in der Umgebung gesammelt. Dabei sollte eigentlich die Privatsphäre gewährt werden. Es werden nur einzigartige, aber verschlüsselte und ständig sich ändernde Identifikationscodes übertragen. Das System speichert diese sogenannten RPIs anderer App-Nutzer. Die Gefahr: Würden diese Daten weitergeben, könnte man anhand der Daten infizierte Personen identifizieren.

Das Problem: Die Systemlogs enthalten auch Daten, über die das Gerät eines Nutzers identifiziert werden kann. Sie speichern beim Start etwa den Benutzernamen und auch die Blueooth Mac-Adresse. Dieses ist eine einzigartige Netzwerkinformation, über die ein Smartphone zugeordnet werden kann. (Von anderen Nutzern wird nur eine verschlüsselte Version dieser Adresse gespeichert).  Eigentlich sollten diese Protokolldaten sicher sein, so dürfen Android-Apps von Drittherstellern nicht auf diese Systemlogs zugreifen. Wie Reardon aber bemängelt: Es gibt eine Ausnahme für sogenannte „privileged“ Apps, die Smartphone-Hersteller oder Netzbetreiber vorinstalliert haben. Diese besitzen ein solches Recht, READ_LOGS genannt, und dürfen Log-Dateien lesen und auf die Server des Herstellers übertragen. Auf einem Xiaomi Redmi Note 9 fanden die Forscher etwa 77 vorinstallierte Apps, von denen 54 diese Zugriffsrechte hatten. Auch ein Galaxy A11 hatte 89 solcher Apps mit Sonderrechten. Diese Zugriffsrechte sind kein Geheimnis und werden auch offen in den Nutzerbedingungen dokumentiert. In der Theorie wäre allerdings das Abgreifen dieser Kontaktdaten zumindest für diese Akteure dann doch möglich.

Google wurde über das Problem bereits Ende Februar informiert, nach Nachfrage von "The Markup" habe man die Sicherheitslücke aber bereits geschlossen. Es sei nicht bekannt, ob eine App jemals auf diese Daten zugegriffen habe. Google selbst schätzt die Sicherheitslücke außerdem offensichtlich als wenig bedenklich ein: Das Auffinden einer schwerwiegenden Lücke wird von Google eigentlich mit einer Geldprämie belohnt, man hat Reardon nach eignen Angaben aber schon informiert, dass sich diese Lücke dafür nicht qualifiziere.

Unsere Meinung

In der Praxis war die Gefahr für die Privatsphäre der App-Nutzer wohl gering, der Aufwand bei einer Identifizierung ist außerdem sehr hoch. Anscheinend hat Google mittlerweile für Abhilfe gesorgt und wir raten uneingeschränkt zur Verwendung der App. Der Vorfall weist nach unserer Meinung wohl mehr auf ein grundsätzliches Problem hin: Systemprotokolle werden von Firmen wie Xiaomi, Samsung, Microsoft oder auch Apple für die Weiterentwicklung ihrer Geräte – etwa um Abstürze bei bestimmten Situationen zu erkennen. An privaten Daten wie Infektionen besteht da kein Interesse. Datenschützern sind diese auch Telemetriedaten genannten Datenübertragungen immer wieder ein Dorn im Auge, da sich die Inhalte auch kaum überprüfen lassen. Auch Apple ist wegen solcher Datenübertragungen unlängst stark in Kritik geraten . Diese Logs sind zwar im Interesse der Kunden, gehen aber ohne Zweifel auf Kosten der Privatsphäre.

PC-WELT Marktplatz

2584197