Categories: MobileMobile OS

Android gibt vertrauliche Daten von Kontaktverfolgungs-Apps preis

Sicherheitsforscher haben eine Schwachstelle in der Android-Implementierung der von Google und Apple gemeinsam entwickelten Technik zur Kontaktverfolgung per Smartphone entdeckt. Die als Exposure Notification System (ENS) bezeichnete Technik, die auch Grundlage der Corona-Warn-App der Bundesregierung ist, hinterlegen offenbar einige Daten in System-Log-Dateien – auf die auch andere Apps Zugriff haben, die nicht der Kontaktverfolgung dienen.

Entdeckt wurde die Schwachstelle vom US-Sicherheits-Start-up AppCensus. Es wurde Anfang des Jahres vom US-Heimatschutzministerium beauftragt, die Zuverlässigkeit von Kontaktverfolgungs-Apps zu prüfen.

Die System-Log-Dateien, in den einige Kontaktverfolgungsdaten abgelegt werden, werden eigentlich für Debugging-Zwecke geführt. Bestimmte Apps erhalten darüber Zugang zu einigen Nutzungsdaten und Absturzberichten. Allerdings ist dieser Zugang auf bestimmte Partner und deren Apps beschränkt, darunter Gerätehersteller und Netzwerkbetreiber.

Auf einem Redmi Note 9 Pro fanden die Forscher 54 vorinstallierte Apps mit Zugriff auf die Log-Dateien, bei einem Samsung Galaxy A11 waren es 89 Apps. “Sie erhalten nun aufgrund von Googles Implementierung medizinische und andere vertrauliche Informationen”, heißt es in einem Blogeintrag von AppCensus-Gründer Joel Reardon.

Das Exposure Notification System hatten Apple und Google entwickelt, um Behörden die Möglichkeit zu geben, eigene Kontaktverfolgungs-Apps im Kampf gegen die Corona-Pandemie anzubieten. Beide Unternehmen betonten, dass die Technik keine negativen Auswirkungen auf den Schutz der Privatsphäre habe. So wurde das System dezentral ausgelegt, um sicherzustellen, dass alle Daten zur Kontaktverfolgung auf dem Gerät und unter Kontrolle des Nutzers bleiben – und nur er entscheiden kann, ob Daten weitergegeben werden.

In den Log-Dateien entdeckten die Forscher jedoch die sogenannten Rolling Proximity Identifiers (RPI). Sie werden per Bluetooth zwischen Smartphones ausgetauscht, um festzuhalten, wer wann mit wem “Kontakt” hatte. Zudem werden dort die Bluetooth-MAC-Adressen der sendenden Geräte abgelegt.

“Natürlich müssen die Informationen irgendwo protokolliert werden, um die Kontaktverfolgung durchzuführen, aber das sollte intern in der ENS sein”, sagte Gaetan Leurent, Forscher am französischen Nationalen Institut für Forschung in digitaler Wissenschaft und Technologie (INRIA), der nicht an der Untersuchung teilgenommen hat. “Es ist beunruhigend, dass diese Informationen im Systemprotokoll gespeichert wurden. Es gibt keinen guten Grund, sie dort abzulegen.”

AppCensus betont zwar, dass die Daten in den Log-Dateien anonymisiert seien, trotzdem sei es möglich herauszufinden, ob eine Person positiv getestet worden sei oder Kontakt zu einer positiv getesteten Person hatte. Mit Zugang zu den Log-Dateien anderer Nutzer sollen die Daten sogar preis geben, ob diese Personen Kontakt hatten.

Die Forscher informierten Google bereits vor mehr als zwei Monaten über ihre Erkenntnisse. An die Öffentlichkeit wandten sie sich, nachdem Google nach Ablauf von 60 Tagen das Problem weder bestätigt noch beseitigt hatte. Ein Google-Sprecher erklärte dazu auf Nachfrage von ZDNet.com: “Wir wurden über ein Problem informiert, bei dem die Bluetooth-Kennungen vorübergehend für einige vorinstallierte Anwendungen zu Debugging-Zwecken zugänglich waren. Unmittelbar nachdem wir auf diese Untersuchung aufmerksam gemacht wurden, begannen wir mit dem notwendigen Prozess, um das Problem zu überprüfen, Abhilfemaßnahmen zu erwägen und schließlich den Code zu aktualisieren.” Ein Update werde bereits seit mehreren Wochen schrittweise ausgerollt und stehe in den kommenden Tagen allen Geräten zur Verfügung.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft weitet Verteilung des 21H1-Updates für Windows 10 aus

Die Aktualisierung geht nun automatisch an Systeme mit Windows 10 Version 2004. Deren Versorgung mit…

13 Stunden ago

Intel schafft neue Geschäftsbereiche für Accelerated Computing und Software

CEO Pat Gelsinger konzentriert sich stärker auf High Performance Computing und Grafiktechnologien für Rechenzentren. Neu…

16 Stunden ago

Mit Customer Analytics zu erfolgreicher Kundenbindung – 3 Use Cases

Dass Daten heutzutage eine der wichtigsten Ressourcen für Unternehmen sind, ist unbestritten. Besonders viel Potenzial…

17 Stunden ago

EU-Kommission leitet neue Kartelluntersuchung gegen Google ein

Es geht um möglicherweise wettbewerbsfeindliches Verhalten im Bereich Online-Dienste. Google soll möglicherweise bestimmte Nutzerdaten Dritten…

18 Stunden ago

Forscher reduzieren Größe von Quantencomputern

Ein an der Universität Innsbruck entwickeltes System passt in ein herkömmliches Server-Rack. Es arbeitet auch…

2 Tagen ago

Nach Ransomware-Angriff: 700 GByte Daten des Speicheranbieters Adata

Die Daten sind nur vorübergehend öffentlich verfügbar. Der Filehoster Mega sperrt das zugehörige Konto. Hinter…

2 Tagen ago