Das sagen die Pentester zur Swisscovid-App

10. Juni 2020, 14:35
  • coronavirus
  • technologien
  • google
  • apple
  • open source
image

Mit Bluetooth verbundene Security-Probleme und eine sehr freie Interpretation von Open Source kritisiert ein Kryptologie-Professor der EPFL uns gegenüber.

Seit dem 28. Mai läuft der Public-Security-Test für die Schweizer Corona-Tracing-App. Der Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC) geleitet und Meldungen regelmässig veröffentlicht. In den ersten rund zwei Wochen des PITs kamen eine Reihe von Meldungen zusammen, dies zeigt ein Blick in das vom NCSC veröffentlichte Dokument.
Einige davon drehen sich um Sprachfehler und Usability-Issues. Andere wiederum sind securityrelevant.
So bemängelt eine Person, dass ältere Bluetooth-Protokollversionen, die als unsicher gelten, unterstützt werden. Dies ist insbesondere problematisch, da Bluetooth stets aktiviert sein muss, um die App zu nutzen. Ein weiterer Teilnehmer kritisiert, dass für die Nutzung der App nicht nur Bluetooth, sondern auch der GPS-Standort aktiviert werden müssen. Ein "Showstopper" für ihn, wie er schreibt.
Dem Thema Bluetooth hat sich auch der Kryptologie-Professor Serge Vaudenay (EPFL) mit seinem Kollegen Martin Vuagnoux in einer Eingabe gewidmet. Er gibt zu bedenken, dass Rückschlüsse auf einzelne Personen gezogen oder diese identifiziert werden könnten.
Geräte könnten anhand des Bluetooth-Signals, das sie konstant aussenden, geortet werden. So könne zum Beispiel in Echtzeit überwacht werden, wie viele aktive Swisscovid-User in der Nähe sind. Mit ein paar billigen Sensoren in einem Gebäude liesse sich auch die Bewegung von Geräten verfolgen, führt Vaudenay auf Anfrage von inside-it.ch aus.
Daneben kritisierte er den Umgang mit dem Open-Source-Ansatz. "Open Source" bedeute so viel mehr, als nur den Quellcode weiterzugeben. Es bedeute auch, dass jeder den Code verändern, kompilieren und ausführen könne. Dies sei nun nicht der Fall. 
Für Corona-Tracing-Apps stellen Google und Apple eine API zur Verfügung, die "Google Apple Exposure Notification API" (GAEN). Vaudenay schreibt, dass das gesamte DP3T-Protokoll nicht in der App, sondern in GAEN implementiert sei. Für diese APIs seien zwar Spezifikationen aber kein Quellcode verfügbar. Bei Android sei GAEN Teil der Google Play Services, die von Google verwaltet würden. In der App bleibe schliesslich ein "Interface zwischen GAEN, den Servern und dem User", schreibt er gegenüber inside-it.ch. In anderen Worten "SwissCovid ist nicht Open Source und unter der Kontrolle von Apple-Google", wie es in der Eingabe heisst.

Loading

Mehr zum Thema

image

Weltweite M365-Störung – alle wichtigen Dienste stundenlang offline

Betroffen waren unter anderem Azure, Teams, Exchange, Outlook und Sharepoint. Weltweit waren die Dienste für einen halben Tag offline.

publiziert am 25.1.2023 8
image

"Zoogler" sorgen sich um ihre Jobs

Wie viele Schweizer Arbeitsplätze vom weltweiten Stellenabbau bei Google betroffen sind, ist noch nicht klar.

publiziert am 25.1.2023
image

US-Kartellwächter klagen erneut gegen Google

Das Justizministerium wirft dem Konzern wettbewerbsfeindliche Methoden im Ad-Tech-Bereich vor und fordert eine Zerschlagung.

publiziert am 25.1.2023
image

Microsoft investiert weitere Milliarden in OpenAI

Der Tech-Gigant unterstützt die Entwickler von ChatGPT mit 10 Milliarden Dollar und beerdigt gleichzeitig den hauseigenen VR-Bereich.

publiziert am 24.1.2023