Corona Warn Apps für Android auf Sicherheit und Einhaltung der Privatsphäre untersucht

Die Corona-Warn-App steht enorm in der Kritik. Nicht weil sie schlecht ist, sondern weil der Datenschutz sie davon abhält richtig gut zu sein. Nur wegen dieses dummen, sehr deutschen, Datenschutzes ist sie „eine Krücke“. Wo es doch im Juni hiess: Sie ist vielleicht nicht die erste Corona-Warn-App aber sicherlich die Beste. Soso. Von der besten App zur Krücke. In weniger als einem Jahr. Das schafft nicht mal Schalke 04. Aber es ist Wahlkampf.

<Zynismus>
Hätten wir den Datenschutz nicht, dann bräuchten wir keinen Lockdown, keine Impfungen, könnten alle zum Frisör und ins Fitnesscenter. Aber so…
</Zynismus>

Lassen wir die Kirche im Dorf oder besser die Daten beim Staat.

Forscher von mehreren Universitäten haben 40 weltweite Corona-Warn-Apps, die für Android-Geräte verfügbar sind, auf Sicherheit und Einhaltung der Privatsphäre untersucht. Auch die deutsche App war dabei.

Dazu haben die Forscher ein Tool, COVIDGuardian, entwickelt, das sich nicht nur den Netzwerkverkehr anschaut, sondern den Programmcode analysiert. Zumal die Netzwerkverbindungen und Daten oftmals verschlüsselt sind und man daher nicht weiss, welche Daten übertragen werden. Mit zusätzlichen drei anderen Sicherheits-Tools, die Programmcode analysieren, haben Sie die Corona-Warn-Apps untersucht.

75% der Apps enthalten mindestens einen Tracker, also etwas, dass Ihr Nutzungsverhalten aufzeichnet und auswertet. Der schlimmste Fall waren acht Tracker in einer App, natürlich im Mekka der IT, einer USA App.

In 25 der 40 Apps fanden die Forscher Google Firebase Tracker (hilft Programmierern auf einfache Weise in die Cloud auszulagern und analysiert, wie Nutzer mit einer App interagieren). In drei Apps fanden die Forscher Facebook Tracker.

Des Weiteren fanden die Forscher, dass mehr als 50% der Apps Informationen in Klartext übertragen oder enthalten. In einem Fall hat die App das Passwort im Klartext in der Datenbank gespeichert.

72,5% der Applikationen verwenden Verschlüsselungsverfahren, um IHRE Daten zu schützen, die überholt und schon längst geknackt worden sind. Natürlich sagen die App-Anbieter, dass sie verschlüsseln, aber wie und womit wird dann oftmals nicht erklärt. Eine verwendete Verfahren, die schon 2016 zu den zehn grössten mobilen Risiken gezählt wurde. 2016!!!!!!

62,5% der Apps setzten die Zugriffsrechte der App auf den Handys falsch.

Einige Apps versendeten die Standortdaten sogar via SMS.

Die Corona-Warn-App lobten die Forscher, zum einen, weil die deutschen Entwickler Programmteile (sog. Frameworks) verwendeten, die das Verschlüsseln von Datenbanken auf dem lokalen Gerät verbessent und die Übertragung der Daten an Server besser schützt.

An zwei Stellen hat die Corona-Warn-App ein Risikopotenzial. In Kontaktverfolgungssystemen, die die persönlichen Informationen der Benutzer direkt veröffentlichen, besteht für einen positiv Getesteten ein erhebliches Risiko der Preisgabe der Privatsphäre (sog. Linkage attacks by users). Im ersten Schritt sammelt der Kriminelle die Tokens, die via Bluetooth versendet werden mit einem speziellen Gerät. Dann versieht er die Informationen mit zusätzlichen Daten wie Datum und Uhrzeit oder Ort. Wenn jetzt ein positiv Getesteter seine Daten hochlädt um andere zu informieren, kann der Kriminelle diese Daten auslesen und sie dem entsprechenden Benutzer zuweisen.
In einer anderen Konstellation kann ein Krimineller die Übermittlung von positiven Tests sammeln und diese später wieder aussenden und somit falsche Meldungen erzeugen. Zum Beispiel könnte er mit einem Bluetooth-Gerät den Datenaustausch in Zügen oder auf viel frequentierten Plätzen aufzeichnen, die Positiven sammeln, dann zwei Städte weiter fahren und vorbeikommenden Handys zusenden. Das Ergebnis wäre, dass die Gesundheitsämter denken würden, an diesem Platz war ein Superspreader-Event und die Gemeinde müsste in den Lockdown.

Bei Punkte sind sehr theoretisch aber technisch machbar, wenn jemand Böses im Schilde führt.

Im weltweiten Vergleich steht die Corona-Warn-App positiv da, wäre da nur nicht die Pflicht, die Google Play Services zu aktivieren, die alle 20 min die Daten nach Hause funken und beim Start der App sofort zwei Netzwerkverbindungen geöffnet, die in der App nicht erklärt werden.