Contact-Tracing-App: Googles API leakte sensible Daten auf Android-Geräten

4. Mai 2021, 15:34
  • technologien
  • coronavirus
  • datenschutz
  • google
  • apple
image

Auch die Swisscovid App nutzt das Exposure Notification System von Google und Apple. Dieses war auf Android-Geräten über Monate unsicher.

Security-Spezialisten haben eine Lücke in der Android-Implementierung des von Google und Apple entwickelten API Exposure Notification Systems (ENS) entdeckt. Die Technik zur Kontaktverfolgung bildet die Grundlage vieler Corona-Tracing-Apps, so auch der Swisscovid App des Bundesamts für Gesundheit (BAG). Laut den Forschern speichern die Smartphones die Daten in System-Logs, auf die auch andere Apps Zugriff haben.
Die System-Log-Dateien werden eigentlich für das Debugging genutzt. Dafür ist vorgesehen, dass Apps Zugang zu Nutzungsdaten und Absturzberichten erhalten. Beschränkt ist dies auf privilegierte Partner wie Gerätehersteller und Netzwerkbetreiber sowie deren Geschäftspartner. Diese hätten nun Zugang zu den sensiblen Daten erhalten, schreibt Joel Reardon, Security-Forscher von Appcensus, in einem detaillierten Blogbeitrag.
Google und Apple hatten die API veröffentlicht, damit Behörden eigene Apps entwickeln können. Die Tech-Konzerne betonten stets, dass das ENS sicher sei. Forscher hatten schon im letzten Frühling die Offenlegung der Funktionalitäten gefordert. Damals lief der öffentlichen Penetrationstest des Schweizer Proximity-Tracing-Systems an, das ebenfalls auf die API setzt. Das Exposure Notification System war nicht Teil des Tests.
Die Lücke im System meldete Appcensus nach eigenen Angaben bereits im Februar 2021. Google habe das Problem aber nicht behoben, obwohl eine Anpassung einfach gewesen wäre, heisst es von den Security-Forschern. Erst als sich die NGO The Markup einschaltete, änderte sich dies offenbar: Die auf die Überwachung von Big Tech spezialisierte Institution meldete Ende April, dass Google mit dem Rollout eines Patches begonnen habe.
Die 'Netzwoche' hat kürzlich beim BAG nachgefragt und erfahren, dass die Lücke dort bekannt ist. Vom Bundesamt hiess es demnach, dass ein Patch zur Verfügung stehe.

Loading

Mehr zum Thema

image

St. Galler IT-Mitarbeiter soll hundertfach Daten der Polizei abgegriffen haben

Ein Gericht verurteilte den 47-Jährigen zu einer bedingten Geldstrafe. Er soll einen Testaccount bei der Stadtpolizei für seine Umtriebe missbraucht haben.

publiziert am 27.9.2022
image

Basler Datenschützer sieht Cloud-Gutachten kritisch

Entgegen der öffentlichen Wahrnehmung bedeute der Entscheid aus Zürich nicht, dass der Gang in die Cloud unproblematisch sei, findet der kantonale Beauftragte in Basel-Stadt.

publiziert am 26.9.2022
image

USA lockert Sanktionen für IT-Firmen im Iran

Weil die iranische Regierung den Zugang zum Internet eingeschränkt hat, versuchen sowohl Behörden als auch Private den Informationsfluss aufrecht zu halten.

publiziert am 26.9.2022
image

Vor 14 Jahren: Erstes Android-Smartphone kommt auf den Markt

"HTC Dream" respektive "G1" setzte als erstes kommerzielles Gerät auf das Betriebssystem Android. Bei den damaligen Testern rief es "Entzücken" hervor.

publiziert am 23.9.2022