Das sind die Schwachstellen der Swiss-Covid-App
Die Sicherheit der Swiss-Covid-App ist mangelhaft. Serge Vaudenay, Professor für Kryptographie an der EPFL, erläutert die Schwachstellen, die er in der Schweizer Contact-Tracing-App gefunden hat.

Die Swiss-Covid-App hat Sicherheitsmängel und ein Datenschutzproblem. Zu diesem Urteil kommen Cybersicherheitsspezialisten, die sich das Schweizer Tool zur Ermittlung von Kontaktpersonen angeschaut haben. Einer von ihnen ist Serge Vaudenay, Professor für Kryptographie an der ETH Lausanne (EPFL). Er hat dem Computer Security Incident Response Team (CSIRT) des Bundesamtes für Informatik und Telekommunikation (BIT) einen Bericht vorgelegt.
Vor allem der Einsatz der Bluetooth-Technologie berge Risiken, sagt der Spezialist auf Anfrage. Dritte könnten die Telefone, auf denen die Swiss-Covid-App installiert ist, problemlos zurückverfolgen. "Die Anwendung sendet Kennungen aus, die ständig wiederholt werden und sich alle 12 Minuten ändern. Innerhalb dieses Zeitrahmens wird die gleiche ID etwa 2000 Mal wiederholt. Das ist enorm", sagt Vaudenay. Diese Funktion mache es sehr einfach, ein Telefon mithilfe eines simplen Bluetooth-Scanners zu verfolgen.
Daten abgleichen und Nutzer identifizieren
Die App berge auch Risiken in Bezug auf die Privatsphäre der Personen, bei denen ein Covid-19-Test positiv ausgefallen ist. Zwar erfolgt die Identifizierung der Benutzer mittels eines Pseudonyms. Gleiche man die Daten jedoch mit weiteren von Drittpersonen ab, lasse sich die Identität des Benutzers herausfinden, sagt der Experte. Diese Verwundbarkeit bestehe aufgrund des dezentralisierten Ansatzes, auf dem Swiss-Covid basiere, ergänzt der EPFL-Forscher. Zu Beginn der Entwicklungsphase habe er deshalb die Programmierer aufgefordert, "weder ein zentralisiertes noch ein dezentralisiertes" System einzuführen, sondern einen Ansatz nach dem Vorbild des kryptographischen Protokolls von Diffie-Hellman zu wählen.
Falsche Alarme und gestohlene Codes
Wird ein Anwender positiv auf das Coronavirus getestet, erhält er vom Arzt einen einmal gültigen Code. Gibt er diesen in der App ein, werden die Kontaktpersonen der vergangenen Tage benachrichtigt. Diese Codes könnten unter Umständen zu falschen Alarmen führen, wie Vaudenay ausführt. So könnten Hacker in das Computersystem eines Arztes eindringen und sich so die Codes beschaffen, oder ein unbefugter könnte an die Codes gelangen, indem er einen Arzt oder einen positiv getesteten Patienten erpresst. Falsch-positive Ergebnisse (False Positives) könnten auch durch sogenannte Replay-Angriffe ausgelöst werden. Hierbei schneidet ein Angreifer die ausgesendeten Handy-IDs potenziell positiv getesteter Anwendern mit, etwa auf einem Testgelände. Dann sendet er dieselben IDs in einer anderen Umgebung wieder aus und täuscht so weitere Kontakte vor.
Schliesslich greift die Swiss-Covid-App auf Programmschnittstellen (APIs) von Google und Apple zurück. Mit diesen werde die eigentliche Kontaktverfolgung implementiert. Da die Schnittstellen jedoch nicht Open Source seien, sei ein entscheidender Teil der Anwendung nicht quelloffen verfügbar. Allerdings schreibt die kürzlich vom Parlament verabschiedete Rechtsgrundlage zur Swiss-Covid-App ausdrücklich vor, der Programmcode müsse öffentlich zugänglich sein.

Neue Android-Technik trickst Nutzer aus

User unterschätzen Risiken von Biometrie und QR-Codes

Sicherheitsdemo im Middle-Earth-Stil

Berner Chatbot gewinnt KI-Preis der Uno

Sunrise lanciert Reise- und Cyberversicherung

Perplexity lanciert KI-Browser Comet

Zürcher Regierungsrat verschiebt Einführung elektronischer Verwaltungsverfahren

Cloudflare legt KI-Crawlern Steine in den Weg

Update: Kanton Bern verlängert Frist für Steuererklärung wegen holprigem Behörden-Login
