Endlich! Da sind die Sicherheitslücken der Corona-Warn-Apps

Darauf hat die Welt gewartet: Ein Forschungsteam, bestehend aus 16 Personen von drei deutschen Universitäten, haben nun endlich erhebliche Sicherheitslücken an drei Corona-Warn-Apps festgestellt. Darunter auch die deutsche App, welche in Kooperation von SAP und der Telekom entwickelt wurde. So können Außenstehende mit einfachen technischen Mitteln, detaillierte Bewegungsprofile von COVID-19 infizierten Personen erstellen. Haben wir jetzt die Bestätigung die App zu meiden?

Seit vergangener Woche Dienstag ist auch in Deutschland eine Corona-Warn-Anwendung für Apple- und Android-Smartphones verfügbar. Bereits über zehn Millionen Downloads verzeichnet das Robert Koch-Institut. Die App dient als digitale Ergänzung zum Abstandhalten, der Hygiene, sowie der Maske über Nase und Mund. Ziel ist es auf anonyme Art und Weise, Nutzer der App darüber zu informieren, wenn sie Kontakt mit einer nachweislich Corona infizierten Personen hatten.

Universitätsstudie bestätigt Sicherheitslücken der Corona-Warn-Apps

Natürlich gibt es auch hier viele verunsicherte Menschen, die nicht das nötige Vertrauen zu dem RKI und unserer Regierung haben. Leider wird aktuell durch eine Studie der Technischen Universität Darmstadt, der Universität Marburg und der Universität Würzburg diese Verunsicherung bestätigt.

Das Forschungsteam hat dazu unter realistischen Bedingungen festgestellt, dass via einfachster Hilfsmittel wie einem Bluetooth-Sniffer, die gesammelten Kontaktinformationen ausgelesen und durch sogenannte Relay-Angriffe manipuliert werden können. Zwar sind die Informationen verschlüsselt, doch in Zusammenarbeit mit der von Google und Apple Standard mäßig vorinstallierten Kontaktnachverfolgung, wäre eine De-Anonymisierung rein theoretisch möglich.

Nicht die App sondern das Google Apple Protokoll ist das Problem

Das mögliche Datenschutz- und Sicherheitsrisiko wird also nicht durch die von der Telekom und SAP entwickelte Anwendung initiiert. Vielmehr ist der Fehler bei dem verwendeten „Google Apple Protokoll“ (GAP) zu suchen. Dabei ist das GAP hauptsächlich anfällig für die Erstellung von Profilen und so genannte Relay- oder Wurmloch-Angriffen.

Die IT-Sicherheitsexperten verwendeten dabei handelsübliche Anwendungen, welche in einer mobilen Umgebung eingesetzt werden können. Basis waren dabei nur Spezifikationen, die bereits in der breiten Wissenschafts-Community zu dem GAP bekannt sind. Nun liegt es an Google und Apple hier Hand anzulegen und entsprechende Verbesserungen zu liefern.

[Quelle: ZDNet]