Deshalb ist die SwissCovid-App unsicher
Googles Benachrichtigungssystem, das von SwissCovid und anderen Tracking-Apps verwendet wird, enthält eine Schwachstelle. Drittanbieter-Apps können auf sensible Daten zugreifen und daraus ableiten, wer infiziert oder gefährdet ist. Die niederländische Regierung hat ihre App bereits vorübergehend ausgesetzt.
Google aktualisiert das Benachrichtigungssystem für gefährdete Kontakte auf allen Android-Smartphones. Der Schritt erfolgt auf die Entdeckung einer Schwachstelle durch die IT-Sicherheitsfirma AppCensus, die das System im Auftrag des US-Ministeriums für innere Sicherheit geprüft hat.
Joel Reardon von AppCensus fand heraus, dass das Tool, auf das sich viele Kontaktverfolgungs-Apps verlassen - darunter auch die Schweizer Lösung SwissCovid - sensible Daten in den Systemprotokollen der Geräte aufzeichnet. Der Haken an der Sache ist, dass einige vorinstallierte Apps auf Android-Geräten, darunter auch jene von Smartphone-Herstellern und Telekommunikationsbetreibern, auf diese Protokolle zugreifen können. Der Fehler, der Android und nicht iOS betrifft, widerspricht dem Versprechen, dass niemand Zugriff auf die hochsensiblen Daten von Tracking-Apps hat.
Nach der Entdeckung beschloss das niederländische Gesundheitsministerium, seine Corona-App vorübergehend zu deaktivieren. Das BAG teilt indes auf Anfrage mit, dass ihm diese Sicherheitslücke bekannt sei und der Patch von Google bereitgestellt werde.
Zur Erinnerung: Contact Tracing Apps mehrerer Länder setzen auf die von Google und Apple im Frühjahr 2020 eilig entwickelte "Exposure Notification"-API. Dieses im Hintergrund laufende Tool dient dazu, zufällige Codes über Bluetooth auszugeben und Codes von anderen Benutzern in der Nähe aufzuzeichnen. Durch den Vergleich der wahrgenommenen Codes und der positiven Fallcodes bewerten die Tracking-Apps das Risiko, dem die Nutzerinnen und Nutzer ausgesetzt waren. Die Lösung hat den Vorteil, dass sie keinen Standort verwendet und keine Benutzerdaten weitergibt.
Die von Joel Reardon entdeckte Sicherheitslücke macht es jedoch möglich, dass auf dem Smartphone installierte Drittanbieter-Apps auf sensible Daten zugreifen und daraus ableiten können, welche Nutzerinnen und Nutzer positiv auf das Coronavirus getestet wurden oder Kontakt mit einer positiv getesteten Person hatten. Reardon fügt auf Anfrage hinzu, dass durch die Kopplung dieser Informationen mit MAC-Adressdatenbanken sogar Rückschlüsse auf den Standort der Benutzerinnen und Benutzer möglich wären.
Nomasis wird Apple Technical Partner
Zürcher ICT-Lernende feiern Berufsabschluss
Autexis holt neuen Co-CEO in die Geschäftsleitung
Ob und wann sich gemäss Red Hat eine lokale KI-Infrastruktur lohnt
BACS probt Cyberresilienz von Gemeinden und Unternehmen
Update: Convotis Schweiz formiert neue Geschäftsleitung
Angreifer umgehen MFA bei Microsoft 365 mit altem Anmeldeverfahren
Wenn das Vorstellungsgespräch von einer KI geführt wird
Europäischer Gerichtshof bestätigt Milliardenbusse gegen Google