Categories: MobileMobile OS

Android gibt vertrauliche Daten von Kontaktverfolgungs-Apps preis

Sicherheitsforscher haben eine Schwachstelle in der Android-Implementierung der von Google und Apple gemeinsam entwickelten Technik zur Kontaktverfolgung per Smartphone entdeckt. Die als Exposure Notification System (ENS) bezeichnete Technik, die auch Grundlage der Corona-Warn-App der Bundesregierung ist, hinterlegen offenbar einige Daten in System-Log-Dateien – auf die auch andere Apps Zugriff haben, die nicht der Kontaktverfolgung dienen.

Entdeckt wurde die Schwachstelle vom US-Sicherheits-Start-up AppCensus. Es wurde Anfang des Jahres vom US-Heimatschutzministerium beauftragt, die Zuverlässigkeit von Kontaktverfolgungs-Apps zu prüfen.

Die System-Log-Dateien, in den einige Kontaktverfolgungsdaten abgelegt werden, werden eigentlich für Debugging-Zwecke geführt. Bestimmte Apps erhalten darüber Zugang zu einigen Nutzungsdaten und Absturzberichten. Allerdings ist dieser Zugang auf bestimmte Partner und deren Apps beschränkt, darunter Gerätehersteller und Netzwerkbetreiber.

Auf einem Redmi Note 9 Pro fanden die Forscher 54 vorinstallierte Apps mit Zugriff auf die Log-Dateien, bei einem Samsung Galaxy A11 waren es 89 Apps. “Sie erhalten nun aufgrund von Googles Implementierung medizinische und andere vertrauliche Informationen”, heißt es in einem Blogeintrag von AppCensus-Gründer Joel Reardon.

Das Exposure Notification System hatten Apple und Google entwickelt, um Behörden die Möglichkeit zu geben, eigene Kontaktverfolgungs-Apps im Kampf gegen die Corona-Pandemie anzubieten. Beide Unternehmen betonten, dass die Technik keine negativen Auswirkungen auf den Schutz der Privatsphäre habe. So wurde das System dezentral ausgelegt, um sicherzustellen, dass alle Daten zur Kontaktverfolgung auf dem Gerät und unter Kontrolle des Nutzers bleiben – und nur er entscheiden kann, ob Daten weitergegeben werden.

In den Log-Dateien entdeckten die Forscher jedoch die sogenannten Rolling Proximity Identifiers (RPI). Sie werden per Bluetooth zwischen Smartphones ausgetauscht, um festzuhalten, wer wann mit wem “Kontakt” hatte. Zudem werden dort die Bluetooth-MAC-Adressen der sendenden Geräte abgelegt.

“Natürlich müssen die Informationen irgendwo protokolliert werden, um die Kontaktverfolgung durchzuführen, aber das sollte intern in der ENS sein”, sagte Gaetan Leurent, Forscher am französischen Nationalen Institut für Forschung in digitaler Wissenschaft und Technologie (INRIA), der nicht an der Untersuchung teilgenommen hat. “Es ist beunruhigend, dass diese Informationen im Systemprotokoll gespeichert wurden. Es gibt keinen guten Grund, sie dort abzulegen.”

AppCensus betont zwar, dass die Daten in den Log-Dateien anonymisiert seien, trotzdem sei es möglich herauszufinden, ob eine Person positiv getestet worden sei oder Kontakt zu einer positiv getesteten Person hatte. Mit Zugang zu den Log-Dateien anderer Nutzer sollen die Daten sogar preis geben, ob diese Personen Kontakt hatten.

Die Forscher informierten Google bereits vor mehr als zwei Monaten über ihre Erkenntnisse. An die Öffentlichkeit wandten sie sich, nachdem Google nach Ablauf von 60 Tagen das Problem weder bestätigt noch beseitigt hatte. Ein Google-Sprecher erklärte dazu auf Nachfrage von ZDNet.com: “Wir wurden über ein Problem informiert, bei dem die Bluetooth-Kennungen vorübergehend für einige vorinstallierte Anwendungen zu Debugging-Zwecken zugänglich waren. Unmittelbar nachdem wir auf diese Untersuchung aufmerksam gemacht wurden, begannen wir mit dem notwendigen Prozess, um das Problem zu überprüfen, Abhilfemaßnahmen zu erwägen und schließlich den Code zu aktualisieren.” Ein Update werde bereits seit mehreren Wochen schrittweise ausgerollt und stehe in den kommenden Tagen allen Geräten zur Verfügung.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Schatten-KI: Generative KI sicher integrieren

Die Einführung von KI in Unternehmen läuft oft noch zögerlich. Diese Zurückhaltung öffnet ungewollt die…

24 Stunden ago

Angriffsziel ERP

Eine aktuelle Studie von Onapsis zeigt: 9 von 10 Ransomware-Angriffe betrafen ERP-Systeme.

1 Tag ago

Intelligente DDoS-Abwehr mit KI

Angreifer nutzen zunehmend raffinierte Techniken, um ihre Angriffe zu verschleiern und adaptive Angriffsmuster einzusetzen, warnt…

3 Tagen ago

Energieverbrauch von Rechenzentren im Blick

ESRS, CSRD, EnEfG: Wer die gesetzlichen Nachhaltigkeits-Regularien erfüllen will, braucht Transparenz über den Energieverbrauch und…

4 Tagen ago

Generative KI macht PDFs jetzt intelligenter

Bei langen und komplexen Dokumenten wie Verträgen, Forschungsarbeiten und Artikeln unterstützt generative KI dabei, in…

5 Tagen ago

Virtuelle Patienten für Universitätsklinikum Bonn

T-Systems entwickelt eine Software-Lösung zum Trainieren von Pflegekräften für das Universitätsklinikum Bonn (UKB).

5 Tagen ago