Das sagen die Pentester zur Swisscovid-App

10. Juni 2020 um 14:35
  • coronavirus
  • technologien
  • google
  • apple
  • open source
image

Mit Bluetooth verbundene Security-Probleme und eine sehr freie Interpretation von Open Source kritisiert ein Kryptologie-Professor der EPFL uns gegenüber.

Seit dem 28. Mai läuft der Public-Security-Test für die Schweizer Corona-Tracing-App. Der Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC) geleitet und Meldungen regelmässig veröffentlicht. In den ersten rund zwei Wochen des PITs kamen eine Reihe von Meldungen zusammen, dies zeigt ein Blick in das vom NCSC veröffentlichte Dokument.
Einige davon drehen sich um Sprachfehler und Usability-Issues. Andere wiederum sind securityrelevant.
So bemängelt eine Person, dass ältere Bluetooth-Protokollversionen, die als unsicher gelten, unterstützt werden. Dies ist insbesondere problematisch, da Bluetooth stets aktiviert sein muss, um die App zu nutzen. Ein weiterer Teilnehmer kritisiert, dass für die Nutzung der App nicht nur Bluetooth, sondern auch der GPS-Standort aktiviert werden müssen. Ein "Showstopper" für ihn, wie er schreibt.
Dem Thema Bluetooth hat sich auch der Kryptologie-Professor Serge Vaudenay (EPFL) mit seinem Kollegen Martin Vuagnoux in einer Eingabe gewidmet. Er gibt zu bedenken, dass Rückschlüsse auf einzelne Personen gezogen oder diese identifiziert werden könnten.
Geräte könnten anhand des Bluetooth-Signals, das sie konstant aussenden, geortet werden. So könne zum Beispiel in Echtzeit überwacht werden, wie viele aktive Swisscovid-User in der Nähe sind. Mit ein paar billigen Sensoren in einem Gebäude liesse sich auch die Bewegung von Geräten verfolgen, führt Vaudenay auf Anfrage von inside-it.ch aus.
Daneben kritisierte er den Umgang mit dem Open-Source-Ansatz. "Open Source" bedeute so viel mehr, als nur den Quellcode weiterzugeben. Es bedeute auch, dass jeder den Code verändern, kompilieren und ausführen könne. Dies sei nun nicht der Fall. 
Für Corona-Tracing-Apps stellen Google und Apple eine API zur Verfügung, die "Google Apple Exposure Notification API" (GAEN). Vaudenay schreibt, dass das gesamte DP3T-Protokoll nicht in der App, sondern in GAEN implementiert sei. Für diese APIs seien zwar Spezifikationen aber kein Quellcode verfügbar. Bei Android sei GAEN Teil der Google Play Services, die von Google verwaltet würden. In der App bleibe schliesslich ein "Interface zwischen GAEN, den Servern und dem User", schreibt er gegenüber inside-it.ch. In anderen Worten "SwissCovid ist nicht Open Source und unter der Kontrolle von Apple-Google", wie es in der Eingabe heisst.

Loading

Mehr zum Thema

image

Business Bytes: 
 Technologie allein gewinnt keine Meisterschaft

Im Format Business Bytes äussert sich Urs Lehner, Head of Swisscom Business Customers, zu aktuellen Mythen aus dem ICT-Universum. Thema dieser Folge: Die Rolle des Mindsets in Zeiten von Wandel und Technologie und was am Ende den Unterschied macht.

imageAbo

Schweizerisches Nationalmuseum gibt Einblick in Digitalprojekte

Das Nationalmuseum hat einen neuen Leiter für Digitale Transformation ernannt. Die Institution erläutert den Stand ihrer Digitalisierung.

publiziert am 12.6.2026
image

KI-Rechenzentren kosten Strom, Wasser und Fläche

Bis 2030 soll der Wasserverbrauch von KI dem jährlichen Bedarf von 1,3 Milliarden Menschen entsprechen. Laut einem Bericht ist der KI-Fussabdruck falsch gemessen.

publiziert am 11.6.2026
image

Euro-Office veröffentlicht und schon in der Kritik

Die quelloffene Bürosoftware eines europäischen Entwicklerkonsortiums wird unter anderem von Ionos und Nextcloud bereitgestellt. Sie hat allerdings noch einen Makel.

publiziert am 10.6.2026