Forscher bemängeln Sicherheitsrisiken bei Corona-Warn-Apps

Ein Forschungsteam hat die Risiken in den Google- und Apple-Spezifikation für Corona-Warn-Apps in Deutschland, Italien und der Schweiz aufgezeigt.

Bedenken gegen Corona-Warn-Apps: Ein 16-köpfiges Forschungsteam der Technischen Universität Darmstadt, der Universität Marburg und der Universität Würzburg hat die Datenschutz- und Sicherheitsrisiken der Spezifikation des von Google und Apple vorgeschlagenen Ansatzes für Corona-Apps unter realistischen Bedingungen praktisch demonstriert und bestätigt. Diesem Ansatz folgen unter anderem die von der Deutschen Telekom und SAP im Auftrag der Bundesregierung entwickelte deutsche Corona-Warn-App sowie auch die schweizerischen und italienischen Apps.

Durch Experimente in realen Szenarien zeigte das Forschungsteam, dass bereits theoretisch bekannte Risiken mit gängigen technischen Mitteln ausgenutzt werden können. So kann zum einen ein externer Angreifer detaillierte Bewegungsprofile von mit COVID-19 infizierten Personen erstellen und unter bestimmten Umständen die betroffenen Personen identifizieren. Zum anderen ist ein Angreifer in der Lage, die gesammelten Kontaktinformationen durch sogenannte Relay-Angriffe zu manipulieren, was die Genauigkeit und Zuverlässigkeit des gesamten Kontaktnachverfolgungssystems beeinträchtigen kann.

Kontaktnachverfolgungs-Apps auf mobilen Geräten versprechen die Möglichkeit, den manuellen Aufwand zur Identifizierung von Infektionskreisläufen erheblich zu reduzieren und die Abdeckung der Kontaktnachverfolgung zu erhöhen. Einer der bekanntesten Vorschläge zur Kontaktnachverfolgung stammt aus der Zusammenarbeit der Konzerne Google und Apple. Es ist zu erwarten, dass die beiden US-amerikanischen Firmen diese neue Standardfunktionalität in ihre jeweiligen mobilen Betriebssysteme, Android und iOS, integrieren werden. Einige Länder, darunter auch Deutschland, haben in ihren nationalen Projekten zur digitalen Ermittlung von Kontaktpersonen bereits diesen Ansatz gewählt.

Umfrage

Werden Sie die Corona Warn-App der Bundesregierung verwenden?

Ergebnisse anzeigen

Loading ... Loading ...

Ausgangspunkt für die Experimente der IT-Sicherheitsexperten und -expertinnen der drei renommierten deutschen Universitäten waren zuvor veröffentlichte Berichte über mögliche Datenschutz- und Sicherheitsrisiken im Zusammenhang mit den Entwicklungen des sogenannten „Google Apple Protokoll“ (GAP). Das Forschungsteam testete, ob die konzeptionell beschriebenen Angriffe in der Praxis ausgeführt werden können. Die Experimente zeigen, dass GAP einerseits anfällig ist für die Erstellung von Profilen und so möglicherweise die De-Anonymisierung von infizierten Personen erlaubt. Andererseits sind in GAP auch so genannte Relay- oder Wurmloch-Angriffe möglich, wodurch Angreifer falsche Kontaktinformationen generieren können und somit die Genauigkeit und Korrektheit des Gesamtsystems leidet.

Das Forschungsteam realisierte die Angriffe mithilfe handelsüblicher preiswerter Werkzeuge wie Bluetooth-Sniffer (als App auf Smartphones oder Raspberry Pis), die auch in mobilen Umgebungen eingesetzt werden können. Da die Implementierung des GAP-Ansatzes noch nicht für die breitere Wissenschafts-Community verfügbar ist, hat das Forschungsteam die Angriffe basierend auf bereits publizierten Spezifikationen konstruiert. Die Ergebnisse zeigen, dass bei Verwendung strategisch platzierter Sensoren auf Smartphones in einem bestimmten Gebiet die Bewegungen infizierter Personen, simuliert durch Testpersonen, detailliert rekonstruiert werden können. Dadurch war es möglich, sensible Aufenthaltsorte der Testpersonen sowie mögliche soziale Beziehungen zwischen ihnen zu identifizieren.

Die Anfälligkeit von GAP für sogenannte Relay- oder Wurmloch-Attacken offenbart ebenfalls Schwächen. Diese Methode versetzt einen Angreifer in die Lage, die sogenannten Bluetooth-Benutzer-IDs, die von einer Kontaktnachverfolgungs-App erzeugt werden, zu sammeln und unbemerkt an weiter entfernte Orte weiterzuleiten. Unter anderem konnten erfolgreich Bluetooth-IDs zwischen zwei 40 Kilometer voneinander entfernten Städten übertragen werden. Dadurch kann ein Angreifer das Kontaktnachverfolgungssystem als Ganzes beeinträchtigen, indem er Informationen über die Anwesenheit von Infizierten an vielen Orten fälschlicherweise dupliziert, was zu einer erheblichen Zunahme von Fehlalarmen über das potenzielle Infektionsrisiko führen könnte.

Insgesamt mahnt das Forschungsteam zu deutlichen Verbesserungen für den von Google und Apple vorgeschlagenen Ansatz für Corona-Apps.

Weitere Artikel zum Thema

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Apple, COVID-19, Deutsche Telekom, Google, SAP

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Forscher bemängeln Sicherheitsrisiken bei Corona-Warn-Apps

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *