Android gibt vertrauliche Daten von Kontaktverfolgungs-Apps preis

Sicherheitsforscher haben eine Schwachstelle in der Android-Implementierung der von Google und Apple gemeinsam entwickelten Technik zur Kontaktverfolgung per Smartphone entdeckt. Die als Exposure Notification System (ENS) bezeichnete Technik, die auch Grundlage der Corona-Warn-App der Bundesregierung ist, hinterlegen offenbar einige Daten in System-Log-Dateien – auf die auch andere Apps Zugriff haben, die nicht der Kontaktverfolgung dienen.

Entdeckt wurde die Schwachstelle vom US-Sicherheits-Start-up AppCensus. Es wurde Anfang des Jahres vom US-Heimatschutzministerium beauftragt, die Zuverlässigkeit von Kontaktverfolgungs-Apps zu prüfen.

Die System-Log-Dateien, in den einige Kontaktverfolgungsdaten abgelegt werden, werden eigentlich für Debugging-Zwecke geführt. Bestimmte Apps erhalten darüber Zugang zu einigen Nutzungsdaten und Absturzberichten. Allerdings ist dieser Zugang auf bestimmte Partner und deren Apps beschränkt, darunter Gerätehersteller und Netzwerkbetreiber.

Auf einem Redmi Note 9 Pro fanden die Forscher 54 vorinstallierte Apps mit Zugriff auf die Log-Dateien, bei einem Samsung Galaxy A11 waren es 89 Apps. “Sie erhalten nun aufgrund von Googles Implementierung medizinische und andere vertrauliche Informationen”, heißt es in einem Blogeintrag von AppCensus-Gründer Joel Reardon.

Das Exposure Notification System hatten Apple und Google entwickelt, um Behörden die Möglichkeit zu geben, eigene Kontaktverfolgungs-Apps im Kampf gegen die Corona-Pandemie anzubieten. Beide Unternehmen betonten, dass die Technik keine negativen Auswirkungen auf den Schutz der Privatsphäre habe. So wurde das System dezentral ausgelegt, um sicherzustellen, dass alle Daten zur Kontaktverfolgung auf dem Gerät und unter Kontrolle des Nutzers bleiben – und nur er entscheiden kann, ob Daten weitergegeben werden.

In den Log-Dateien entdeckten die Forscher jedoch die sogenannten Rolling Proximity Identifiers (RPI). Sie werden per Bluetooth zwischen Smartphones ausgetauscht, um festzuhalten, wer wann mit wem “Kontakt” hatte. Zudem werden dort die Bluetooth-MAC-Adressen der sendenden Geräte abgelegt.

“Natürlich müssen die Informationen irgendwo protokolliert werden, um die Kontaktverfolgung durchzuführen, aber das sollte intern in der ENS sein”, sagte Gaetan Leurent, Forscher am französischen Nationalen Institut für Forschung in digitaler Wissenschaft und Technologie (INRIA), der nicht an der Untersuchung teilgenommen hat. “Es ist beunruhigend, dass diese Informationen im Systemprotokoll gespeichert wurden. Es gibt keinen guten Grund, sie dort abzulegen.”

AppCensus betont zwar, dass die Daten in den Log-Dateien anonymisiert seien, trotzdem sei es möglich herauszufinden, ob eine Person positiv getestet worden sei oder Kontakt zu einer positiv getesteten Person hatte. Mit Zugang zu den Log-Dateien anderer Nutzer sollen die Daten sogar preis geben, ob diese Personen Kontakt hatten.

Die Forscher informierten Google bereits vor mehr als zwei Monaten über ihre Erkenntnisse. An die Öffentlichkeit wandten sie sich, nachdem Google nach Ablauf von 60 Tagen das Problem weder bestätigt noch beseitigt hatte. Ein Google-Sprecher erklärte dazu auf Nachfrage von ZDNet.com: “Wir wurden über ein Problem informiert, bei dem die Bluetooth-Kennungen vorübergehend für einige vorinstallierte Anwendungen zu Debugging-Zwecken zugänglich waren. Unmittelbar nachdem wir auf diese Untersuchung aufmerksam gemacht wurden, begannen wir mit dem notwendigen Prozess, um das Problem zu überprüfen, Abhilfemaßnahmen zu erwägen und schließlich den Code zu aktualisieren.” Ein Update werde bereits seit mehreren Wochen schrittweise ausgerollt und stehe in den kommenden Tagen allen Geräten zur Verfügung.