Contact-Tracing-App: Googles API leakte sensible Daten auf Android-Geräten

4. Mai 2021 um 15:34
  • technologien
  • coronavirus
  • datenschutz
  • google
  • apple
image

Auch die Swisscovid App nutzt das Exposure Notification System von Google und Apple. Dieses war auf Android-Geräten über Monate unsicher.

Security-Spezialisten haben eine Lücke in der Android-Implementierung des von Google und Apple entwickelten API Exposure Notification Systems (ENS) entdeckt. Die Technik zur Kontaktverfolgung bildet die Grundlage vieler Corona-Tracing-Apps, so auch der Swisscovid App des Bundesamts für Gesundheit (BAG). Laut den Forschern speichern die Smartphones die Daten in System-Logs, auf die auch andere Apps Zugriff haben.
Die System-Log-Dateien werden eigentlich für das Debugging genutzt. Dafür ist vorgesehen, dass Apps Zugang zu Nutzungsdaten und Absturzberichten erhalten. Beschränkt ist dies auf privilegierte Partner wie Gerätehersteller und Netzwerkbetreiber sowie deren Geschäftspartner. Diese hätten nun Zugang zu den sensiblen Daten erhalten, schreibt Joel Reardon, Security-Forscher von Appcensus, in einem detaillierten Blogbeitrag.
Google und Apple hatten die API veröffentlicht, damit Behörden eigene Apps entwickeln können. Die Tech-Konzerne betonten stets, dass das ENS sicher sei. Forscher hatten schon im letzten Frühling die Offenlegung der Funktionalitäten gefordert. Damals lief der öffentlichen Penetrationstest des Schweizer Proximity-Tracing-Systems an, das ebenfalls auf die API setzt. Das Exposure Notification System war nicht Teil des Tests.
Die Lücke im System meldete Appcensus nach eigenen Angaben bereits im Februar 2021. Google habe das Problem aber nicht behoben, obwohl eine Anpassung einfach gewesen wäre, heisst es von den Security-Forschern. Erst als sich die NGO The Markup einschaltete, änderte sich dies offenbar: Die auf die Überwachung von Big Tech spezialisierte Institution meldete Ende April, dass Google mit dem Rollout eines Patches begonnen habe.
Die 'Netzwoche' hat kürzlich beim BAG nachgefragt und erfahren, dass die Lücke dort bekannt ist. Vom Bundesamt hiess es demnach, dass ein Patch zur Verfügung stehe.

Loading

Mehr zum Thema

image

VX IT Das schnellste IT-Rack der Welt

IT-Schranksystem. Willkommen in der Zukunft: Rittal präsentiert mit seinem IT-Racksystem VX IT einen maximal durchdachten Variantenbaukasten. Damit lassen sich in bisher unerreichter Schnelligkeit neue IT- Infrastrukturen aufbauen – vom einzelnen Server-Rack bis zum kompletten Rechenzentrum.

image

BLS sucht Cloud-Lösung für die Planung des Bahnbetriebs

Seit 2003 plant die Berner Regionalbahn ihren Betrieb mit einer Software, teilweise sogar in "Handarbeit". Nun soll bis 2027 ein Ersatz mit Cloud-Anbindung her.

publiziert am 21.2.2024
image

Softwarefehler der Blitzkasten: Bern zahlt Bussen an "Temposünder" zurück

Im vergangenen Herbst wurden tausende Autolenkende in Bern irrtümlicherweise geblitzt. Fast alle haben ihre Bussen laut Kantonspolizei erstattet bekommen.

publiziert am 19.2.2024
image

KI darf mit Reddit-Inhalten lernen

60 Millionen Dollar zahlt ein KI-Entwickler, um die Inhalte der Plattform für das Training seiner Software verwenden zu dürfen. In der Schweiz ringen Medienhäuser mit dem Umgang mit KI.

publiziert am 19.2.2024