Categories: MobileMobile OS

Android gibt vertrauliche Daten von Kontaktverfolgungs-Apps preis

Sicherheitsforscher haben eine Schwachstelle in der Android-Implementierung der von Google und Apple gemeinsam entwickelten Technik zur Kontaktverfolgung per Smartphone entdeckt. Die als Exposure Notification System (ENS) bezeichnete Technik, die auch Grundlage der Corona-Warn-App der Bundesregierung ist, hinterlegen offenbar einige Daten in System-Log-Dateien – auf die auch andere Apps Zugriff haben, die nicht der Kontaktverfolgung dienen.

Entdeckt wurde die Schwachstelle vom US-Sicherheits-Start-up AppCensus. Es wurde Anfang des Jahres vom US-Heimatschutzministerium beauftragt, die Zuverlässigkeit von Kontaktverfolgungs-Apps zu prüfen.

Die System-Log-Dateien, in den einige Kontaktverfolgungsdaten abgelegt werden, werden eigentlich für Debugging-Zwecke geführt. Bestimmte Apps erhalten darüber Zugang zu einigen Nutzungsdaten und Absturzberichten. Allerdings ist dieser Zugang auf bestimmte Partner und deren Apps beschränkt, darunter Gerätehersteller und Netzwerkbetreiber.

Auf einem Redmi Note 9 Pro fanden die Forscher 54 vorinstallierte Apps mit Zugriff auf die Log-Dateien, bei einem Samsung Galaxy A11 waren es 89 Apps. “Sie erhalten nun aufgrund von Googles Implementierung medizinische und andere vertrauliche Informationen”, heißt es in einem Blogeintrag von AppCensus-Gründer Joel Reardon.

Das Exposure Notification System hatten Apple und Google entwickelt, um Behörden die Möglichkeit zu geben, eigene Kontaktverfolgungs-Apps im Kampf gegen die Corona-Pandemie anzubieten. Beide Unternehmen betonten, dass die Technik keine negativen Auswirkungen auf den Schutz der Privatsphäre habe. So wurde das System dezentral ausgelegt, um sicherzustellen, dass alle Daten zur Kontaktverfolgung auf dem Gerät und unter Kontrolle des Nutzers bleiben – und nur er entscheiden kann, ob Daten weitergegeben werden.

In den Log-Dateien entdeckten die Forscher jedoch die sogenannten Rolling Proximity Identifiers (RPI). Sie werden per Bluetooth zwischen Smartphones ausgetauscht, um festzuhalten, wer wann mit wem “Kontakt” hatte. Zudem werden dort die Bluetooth-MAC-Adressen der sendenden Geräte abgelegt.

“Natürlich müssen die Informationen irgendwo protokolliert werden, um die Kontaktverfolgung durchzuführen, aber das sollte intern in der ENS sein”, sagte Gaetan Leurent, Forscher am französischen Nationalen Institut für Forschung in digitaler Wissenschaft und Technologie (INRIA), der nicht an der Untersuchung teilgenommen hat. “Es ist beunruhigend, dass diese Informationen im Systemprotokoll gespeichert wurden. Es gibt keinen guten Grund, sie dort abzulegen.”

AppCensus betont zwar, dass die Daten in den Log-Dateien anonymisiert seien, trotzdem sei es möglich herauszufinden, ob eine Person positiv getestet worden sei oder Kontakt zu einer positiv getesteten Person hatte. Mit Zugang zu den Log-Dateien anderer Nutzer sollen die Daten sogar preis geben, ob diese Personen Kontakt hatten.

Die Forscher informierten Google bereits vor mehr als zwei Monaten über ihre Erkenntnisse. An die Öffentlichkeit wandten sie sich, nachdem Google nach Ablauf von 60 Tagen das Problem weder bestätigt noch beseitigt hatte. Ein Google-Sprecher erklärte dazu auf Nachfrage von ZDNet.com: “Wir wurden über ein Problem informiert, bei dem die Bluetooth-Kennungen vorübergehend für einige vorinstallierte Anwendungen zu Debugging-Zwecken zugänglich waren. Unmittelbar nachdem wir auf diese Untersuchung aufmerksam gemacht wurden, begannen wir mit dem notwendigen Prozess, um das Problem zu überprüfen, Abhilfemaßnahmen zu erwägen und schließlich den Code zu aktualisieren.” Ein Update werde bereits seit mehreren Wochen schrittweise ausgerollt und stehe in den kommenden Tagen allen Geräten zur Verfügung.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago