Categories: MobileMobile OS

Android gibt vertrauliche Daten von Kontaktverfolgungs-Apps preis

Sicherheitsforscher haben eine Schwachstelle in der Android-Implementierung der von Google und Apple gemeinsam entwickelten Technik zur Kontaktverfolgung per Smartphone entdeckt. Die als Exposure Notification System (ENS) bezeichnete Technik, die auch Grundlage der Corona-Warn-App der Bundesregierung ist, hinterlegen offenbar einige Daten in System-Log-Dateien – auf die auch andere Apps Zugriff haben, die nicht der Kontaktverfolgung dienen.

Entdeckt wurde die Schwachstelle vom US-Sicherheits-Start-up AppCensus. Es wurde Anfang des Jahres vom US-Heimatschutzministerium beauftragt, die Zuverlässigkeit von Kontaktverfolgungs-Apps zu prüfen.

Die System-Log-Dateien, in den einige Kontaktverfolgungsdaten abgelegt werden, werden eigentlich für Debugging-Zwecke geführt. Bestimmte Apps erhalten darüber Zugang zu einigen Nutzungsdaten und Absturzberichten. Allerdings ist dieser Zugang auf bestimmte Partner und deren Apps beschränkt, darunter Gerätehersteller und Netzwerkbetreiber.

Auf einem Redmi Note 9 Pro fanden die Forscher 54 vorinstallierte Apps mit Zugriff auf die Log-Dateien, bei einem Samsung Galaxy A11 waren es 89 Apps. “Sie erhalten nun aufgrund von Googles Implementierung medizinische und andere vertrauliche Informationen”, heißt es in einem Blogeintrag von AppCensus-Gründer Joel Reardon.

Das Exposure Notification System hatten Apple und Google entwickelt, um Behörden die Möglichkeit zu geben, eigene Kontaktverfolgungs-Apps im Kampf gegen die Corona-Pandemie anzubieten. Beide Unternehmen betonten, dass die Technik keine negativen Auswirkungen auf den Schutz der Privatsphäre habe. So wurde das System dezentral ausgelegt, um sicherzustellen, dass alle Daten zur Kontaktverfolgung auf dem Gerät und unter Kontrolle des Nutzers bleiben – und nur er entscheiden kann, ob Daten weitergegeben werden.

In den Log-Dateien entdeckten die Forscher jedoch die sogenannten Rolling Proximity Identifiers (RPI). Sie werden per Bluetooth zwischen Smartphones ausgetauscht, um festzuhalten, wer wann mit wem “Kontakt” hatte. Zudem werden dort die Bluetooth-MAC-Adressen der sendenden Geräte abgelegt.

“Natürlich müssen die Informationen irgendwo protokolliert werden, um die Kontaktverfolgung durchzuführen, aber das sollte intern in der ENS sein”, sagte Gaetan Leurent, Forscher am französischen Nationalen Institut für Forschung in digitaler Wissenschaft und Technologie (INRIA), der nicht an der Untersuchung teilgenommen hat. “Es ist beunruhigend, dass diese Informationen im Systemprotokoll gespeichert wurden. Es gibt keinen guten Grund, sie dort abzulegen.”

AppCensus betont zwar, dass die Daten in den Log-Dateien anonymisiert seien, trotzdem sei es möglich herauszufinden, ob eine Person positiv getestet worden sei oder Kontakt zu einer positiv getesteten Person hatte. Mit Zugang zu den Log-Dateien anderer Nutzer sollen die Daten sogar preis geben, ob diese Personen Kontakt hatten.

Die Forscher informierten Google bereits vor mehr als zwei Monaten über ihre Erkenntnisse. An die Öffentlichkeit wandten sie sich, nachdem Google nach Ablauf von 60 Tagen das Problem weder bestätigt noch beseitigt hatte. Ein Google-Sprecher erklärte dazu auf Nachfrage von ZDNet.com: “Wir wurden über ein Problem informiert, bei dem die Bluetooth-Kennungen vorübergehend für einige vorinstallierte Anwendungen zu Debugging-Zwecken zugänglich waren. Unmittelbar nachdem wir auf diese Untersuchung aufmerksam gemacht wurden, begannen wir mit dem notwendigen Prozess, um das Problem zu überprüfen, Abhilfemaßnahmen zu erwägen und schließlich den Code zu aktualisieren.” Ein Update werde bereits seit mehreren Wochen schrittweise ausgerollt und stehe in den kommenden Tagen allen Geräten zur Verfügung.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

1 Tag ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

1 Tag ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago