Es ist möglich, User zu identifizieren und Falschmeldungen zu generieren. Die Experten des Bundes bestätigen und beruhigen.
Ist die Security des Konzepts der Schweizer Corona-App so sicher, wie bis anhin rapportiert? In der neuen Studie "Mind the GAP: Security & Privacy Risks of Contact Tracing Apps" zweifeln 16 deutsche Wissenschafter der TU Darmstadt an unterschiedlichen Aspekten. Im Fokus ihrer experimentellen Tests standen die Google-Apple-Schnittstellen (GAP) sowie Bluetooth.
"Wir zeigen, dass das gegenwärtige GAP-Design in realen Szenarien anfällig ist für die Erstellung von Profilen und möglicherweise die De-Anonymisierung infizierter Personen und dass Replay-basierte "Wormhole-Attacken" falsche Kontakte erzeugen können, die die Genauigkeit eines app-basierten Kontaktverfolgungssystems erheblich beeinträchtigen können. Für beide Arten von Angriffen haben wir Werkzeuge entwickelt, die leicht auf Mobiltelefonen oder Raspberry Pis eingesetzt werden können (z.B. Bluetooth-Sniffer)." Dies besagt die Zusammenfassung der Studie der Wissenschafter der Universitäten Darmstadt, Marburg und Würzburg.
Für ihr erstes Experiment platzierten die Forscher an strategischen Orten in Darmstadt Bluetooth-Sniffer – unter anderem vor der Polizei, vor einem Pub und einem Spital. Sie konnten zeigen, dass es in der Praxis möglich ist, "in effizienter Weise" ein Profil der Bewegungen und Aktivitäten zu erstellen und über die Zeit hinweg den Telefonbesitzer zu identifizieren.
40 Kilometer Distanz und doch ein Kontakt?
In einem anderen Experiment testeten die Wissenschafter eine Replay-"Wurmloch"-Attacke. Hier zeichnet ein Angreifer Informationen an einem physischen Standort eines Netzwerks auf, leitet diese weiter zu einem anderen physischen Standort, und sendet sie wieder zurück, als ob sie überhaupt erst an diesen Ort geschickt worden wären. So versucht man, mehrere Standorte zu verbinden und Kontakte zu melden, die nie stattgefunden haben.
Mit einem Rasperry Pi als Sender und Empfänger von Bluetooth-LE-Daten sei es den Forschern "gelungen, einen logischen Kontakt zwischen Smartphones herzustellen, die in zwei Städten 40 Kilometer voneinander entfernt waren, ohne dass es einen realen Kontakt zwischen den Nutzern dieser Smartphones gab".
Auf Anfrage antwortet das Bundesamt für Gesundheit BAG, die beiden Schwächen seien ihnen und dem Nationalen Zentrum für Cybersicherheit (NCSC) bekannt. Weil verschiedene Security-Forscher insbesondere auf Replay-Attacken hinwiesen, hat das Schweizer NCSC nachträglich – am 15. Juni - einen "Appendix" zum Thema publiziert.
Unter den Kritikern Unter den Kritikern befindet sich immerhin ein EPFL-Professor für Security.
Grafik: Studie TU Darmstadt.
Die Bundesexperten anerkennen Replay-Attacken als "die einzige wirkliche Sabotagemöglichkeit, die wir im Protokoll finden konnten" und dass eine erfolgreiche Attacke zu vielen falschen Daten führen würde.
"Der NCSC und Wissenschaftler des DP-3T von den Eidgenössischen Hochschulen EPFL und ETH schätzen die Risiken als gering ein", so ein Sprecher des BAG und verweist auf frühere Publikationen vom 3. und 21. April.
"Das Risiko eines Wiedererkennens (De-Anonymisierung) gilt nicht für Nutzer, die nie eine Infektion melden. Zu keinem Zeitpunkt kann die SwissCovid-App zu einer Massenüberwachung führen", heisst es im neuen Appendix. Des Weiteren dauere das Tracking von Nutzern, die eine Infektion melden, nur einige Tage. "Daher bleibt die Angriffsfläche sehr klein."
Die deutschen Forscher postulieren, die De-Anonymisierung sei in einigen Tagen möglich. Allerdings müssen die Angreifer beziehungsweise ihre Tools physisch vorhanden sein, was den Aufwand eines Angriffs relativ hoch macht. Theoretisch wären auch Angriffe via stationäre Bluetooth- und Wifi-verbunden Devices wie Zahlungs-Geräte zwar möglich, heisst es im Appendix, allerdings sei hier das Risiko ebenfalls klein.
"Der Bericht des NCSC empfiehlt des Weiteren, Nutzer darüber zu informieren, dass sie die Risiken weiter eindämmen können, indem sie die App/Bluetooth deaktivieren in Situationen, in denen keine Ansteckungsgefahr durch Andere besteht, z.B. solange sie sich zu Hause befinden", teilt das BAG mit.
Kein DNSSEC bei mehreren Endpoints
Ein fast überlesener Kritikpunkt des NCSC betrifft das Fehlen von DNSSEC. Der Bericht "Security Report Proximity Scanning" des NCSC des Bundes vom 12. Juni zeigt, dass gleich mehrere Endpoints – darunter hin.ch von Health Info Net – nicht mit DNSSEC geschützt sind. Das verblüfft auch den Experten Michael Hausding, Competence Lead DNS und Domain Abuse bei Switch: "Nachdem der Bund admin.ch mit DNSSEC geschützt hat, ist es unverständlich, dass er es hier unterlassen hat und zusätzlich Domain-Namen verwendet, die sich nicht unter seiner Kontrolle befinden", erklärt Hausding auf Anfrage.
Das Weglassen von DNSSEC ist ein laut Experten in der Schweiz nach wie vor gebräuchliches Versäumnis. DNSSEC garantiert mittels kryptografischer Unterschriften, dass DNS-Antworten nicht unerkannt manipuliert werden können und ermöglicht so, Daten sicher im DNS zu publizieren, erklärt Switch die Security-Massnahme. So wird verhindert, dass ein Domain-Name für einen Angriff genutzt werden kann.
Auch kein DNSSEC eingesetzt hat laut den NCSC-Experten des Bundes die Firma Health Info Net (HIN). Sie tritt mit Anspruch im Markt auf "für Gesundheitsfachpersonen der Standard für sichere Kommunikation und den vertrauensvollen Umgang mit sensiblen Daten" zu sein. Im dritten Quartal 2020 werde HIN dann auch DNSSEC einsetzen, heisst es im Bericht, den Melani publiziert hat. Das HIN-Netzwerk gehört laut den Bundes-Experten zu den wichtigsten Support-Systemen der Corona-App. Diese wiederum waren nicht im Scope ihrer Untersuchung.
Hausding sieht das Versäumnis nicht in erster Linie als Security-Risiko: "Ich sehe das Risiko bei den Domain-Namen eher auf der Ebene des Vertrauens. Wenn einmal bekannt wird, dass einer der Domain-Namen für einen Angriff genutzt wurde oder er schlecht vor Angriffen geschützt ist oder wenn es nicht klar ist, wer ihn kontrolliert – swissptapp.ch ist an den Nameserver pro.io delegiert und nicht etwa an einen Nameserver des BIT – dann kann das Vertrauen in die App sehr schnell schwinden", erklärt der Experte von Switch.
Was ist mit den APIs von Google und Apple?
Die deutschen Forscher fordern zudem wie auch Umberto Annino, Präsident des Schweizer Security-Fachleute-Verbands ISSS, die Offenlegung der Funktionalitäten von Google und Apples API. "Hier findet die 'Magie' statt, und dies ist ein weiterer Teil, in dem es zu potenziellen Datenschutzverletzungen kommen könnte", heisst es aus Deutschland.
Bezüglich der vorhandenen Risiken stellt sich eine zentrale Frage: Wer hat ein gutes Motiv, Nutzer zu identifizieren, das Tracing zu manipulieren oder gar Entscheide zu beeinflussen mit falschen Warnmeldungen?
Die NCSC-Experten, die sich aus CSIRT des BIT und GovCERT.ch zusammensetzen, bilanzieren: "Wir glauben, dass es am wichtigsten ist, zu akzeptieren, dass es Restrisiken gibt, und die App nur als eine zusätzliche Datenquelle für den Umgang mit der Pandemie zu betrachten."