Corona-Warn-Apps sind nicht sicher genug
In Deutschland soll bald eine Corona-Warn-App verfügbar sein. Mit ihrer Hilfe sollen Menschen, die Kontakt zu COVID-19-Infizierten hatten, frühzeitiger und genauer über das Risiko einer Ansteckung informiert werden können, erklärt die Verbraucherzentrale. In anderen Ländern werden solche Apps schon seit längerer Zeit eingesetzt. Doch Forschende berichten nun über Datenschutz- und Sicherheitsrisiken.
Britische Wissenschaftlerinnen und Wissenschaftler stellten vor kurzem in einer Studie fest, dass Corona-Warn-Apps dazu beitragen können, die Verbreitung von COVID-19 deutlich zu verlangsamen. Doch leider sind diese Apps wohl nicht sicher genug. Ein deutsches Forschungsteam sieht hier noch deutliches Verbesserungspotenzial.
App soll helfen, die Corona-Pandemie in den Griff zu bekommen
Die deutsche Corona-Warn-App ist „ein wirksames Mittel, um zu helfen, die Corona-Pandemie in den Griff zu bekommen“, so Regierungssprecher Steffen Seibert.
„Der Schutz der Privatsphäre hat hier höchste Priorität“, wird Seibert auf der Webseite der Bundesregierung zitiert.
Doch offenbar gibt es bei Sicherheit und Datenschutz noch Defizite. Denn laut einer aktuellen Mitteilung hat ein Forschungsteam der Technischen Universität Darmstadt, der Universität Marburg und der Universität Würzburg jüngst in Publikationen als theoretisch möglich beschriebene Datenschutz- und Sicherheitsrisiken der Spezifikation des von Google und Apple vorgeschlagenen Ansatzes für Corona-Apps unter realistischen Bedingungen praktisch demonstriert und bestätigt.
Auf diesem Ansatz basiert unter anderem auch die von der Deutschen Telekom und SAP im Auftrag der Bundesregierung entwickelte deutsche Corona-Warn-App. Aber auch die schweizerischen und italienischen Kontaktnachverfolgungs-Apps nutzen diese Plattform.
Detaillierte Bewegungsprofile von Infizierten
Durch Experimente in realen Szenarien zeigten die Forschenden, dass bereits theoretisch bekannte Risiken mit gängigen technischen Mitteln ausgenutzt werden können.
So kann zum einen eine externe Angreiferin oder ein externer Angreifer detaillierte Bewegungsprofile von mit dem neuartigen Coronavirus SARS-CoV-2 infizierten Menschen erstellen und unter bestimmten Umständen die betroffenen Personen identifizieren.
Zum anderen ist eine Angreiferin oder ein Angreifer in der Lage, die gesammelten Kontaktinformationen durch sogenannte Relay-Angriffe zu manipulieren, was die Genauigkeit und Zuverlässigkeit des gesamten Kontaktnachverfolgungssystems beeinträchtigen kann.
Identifizierung von Infektionskreisläufen
Den Fachleuten zufolge versprechen Kontaktnachverfolgungs-Apps auf mobilen Geräten die Möglichkeit, den manuellen Aufwand zur Identifizierung von Infektionskreisläufen erheblich zu reduzieren und die Abdeckung der Kontaktnachverfolgung zu erhöhen.
Einer der derzeit bekanntesten Vorschläge zur Kontaktnachverfolgung stammt aus der Zusammenarbeit der US-amerikanischen Firmen Google und Apple. Es ist zu erwarten, dass die beiden Konzerne diese neue Standardfunktionalität in ihre jeweiligen mobilen Betriebssysteme, Android und iOS, integrieren werden.
Manche Länder, darunter auch Deutschland, haben in ihren nationalen Projekten zur digitalen Ermittlung von Kontaktpersonen bereits diesen Ansatz gewählt.
Sensible Aufenthaltsorte der Testpersonen konnten identifiziert werden
Ausgangspunkt für die Experimente der IT-Sicherheitsexpertinnen und -experten der drei Universitäten waren zuvor veröffentlichte Berichte über mögliche Datenschutz- und Sicherheitsrisiken im Zusammenhang mit den Entwicklungen des sogenannten „Google Apple Protokoll“ (GAP).
Die Wissenschaftlerinnen und Wissenschaftler testeten, ob die konzeptionell beschriebenen Angriffe in der Praxis ausgeführt werden können. Den Angaben zufolge zeigen die Experimente, dass GAP einerseits anfällig ist für die Erstellung von Profilen und so möglicherweise die De-Anonymisierung von infizierten Personen erlaubt.
Andererseits sind in GAP auch sogenannte Relay- oder Wurmloch-Angriffe möglich, wodurch Angreiferinnen oder Angreifer falsche Kontaktinformationen generieren können und somit die Genauigkeit und Korrektheit des Gesamtsystems leidet.
Laut der Mitteilung realisierte das Forschungsteam die Angriffe mithilfe handelsüblicher preiswerter Werkzeuge wie Bluetooth-Sniffer (als App auf Smartphones oder Raspberry Pis), die auch in mobilen Umgebungen eingesetzt werden können.
Weil die Implementierung des GAP-Ansatzes noch nicht für die breitere Wissenschafts-Community verfügbar ist, haben die Forschenden die Angriffe basierend auf bereits publizierten Spezifikationen konstruiert.
Die Ergebnisse haben gezeigt, dass bei Verwendung strategisch platzierter Sensoren auf Smartphones in einem bestimmten Gebiet die Bewegungen infizierter Personen, simuliert durch Testpersonen, detailliert rekonstruiert werden können.
Dadurch war es auch möglich, sensible Aufenthaltsorte der Testpersonen sowie mögliche soziale Beziehungen zwischen ihnen zu identifizieren.
Deutliches Verbesserungspotenzial
Auch die Anfälligkeit von GAP für sogenannte Relay- oder Wurmloch-Attacken offenbart Schwächen. Wie es in der Mitteilung heißt, versetzt diese Methode einen Angreifenden in die Lage, die sogenannten Bluetooth-Benutzer-IDs, die von einer Kontaktnachverfolgungs-App erzeugt werden, zu sammeln und unbemerkt an weiter entfernte Orte weiterzuleiten.
So konnten unter anderem erfolgreich Bluetooth-IDs zwischen zwei 40 Kilometer voneinander entfernten Städten übertragen werden.
Dadurch kann eine Angreiferin oder ein Angreifer das Kontaktnachverfolgungssystem als Ganzes beeinträchtigen, indem sie oder er Informationen über die Anwesenheit von Infizierten an vielen Orten fälschlicherweise dupliziert, was zu einer erheblichen Zunahme von Fehlalarmen über das potenzielle Infektionsrisiko führen könnte.
Das Forschungsteam sieht insgesamt noch deutliches Verbesserungspotenzial für den von Google und Apple vorgeschlagenen Ansatz für Corona-Apps.
Eine detaillierte Beschreibung der Experimente und ihrer Ergebnisse ist im vollständigen Studienbericht auf „arXiv.org“, einem Dokumentenserver für Preprints aus den Bereichen Physik, Mathematik, Informatik, Statistik, Finanzmathematik und Biologie, zu finden. (ad)
Autoren- und Quelleninformationen
Quelle: Den ganzen Artikel lesen