Corona-Kontaktverfolgung (deutsche Corona Warn-App) leakt Daten in Android !
Eigentlich sollte nur das Exposure Notification Framework auf die gesammelten Kontakte zugreifen können, doch Android schreibt sie in ein Log.
Die Corona-Warn-App greift zur Kontaktverfolgung auf das Exposure Notification Framework (ENF) von Google und Apple zurück, das die beiden Unternehmen in iOS und Android implementiert haben. Um die Privatsphäre zu gewährleisten, können Apps nicht auf die zur Kontaktverfolgung gesendeten und empfangenen IDs zugreifen. Doch genau diese schreibt Google unter Android in eine Log-Datei auf die Systemapps zugreifen können - beispielsweise vorinstallierte Apps der Smartphonehersteller Samsung oder Xiaomi. Das Problem wurde an Google gemeldet, dort hat man es jedoch innerhalb von 60 Tagen nicht behoben.
Auf die Daten des Exposure Notification Frameworks sollten nicht zugegriffen werden können
Das Exposure Notification Framework (ENF)generiert laufend neue IDs, sogenannte Rolling Proximity Identifiers (RPIs), und sendet diese für einen bestimmten Zeitraum per Bluetooth an Geräte in der Umgebung, gleichzeitig empfängt es deren RPIs. Diese stellen damit einen wie auch immer gearteten Kontakt mit einer anderen Person dar.
Neben den empfangenen und gesendeten RPIs schreibt Google auch die Bluetooth-Mac-Adresse des Gerätes in die Log-Datei, auf die andere Apps aus Datenschutzgründen keinen Zugriff haben, schreibt der Sicherheitsforscher Joel Reardon in einem Blogeintrag der Forschungseinrichtung Appcensus, die das Framework untersucht und das Datenleck entdeckt hatte.
Die Mac-Adresse ist eine eindeutige, gerätespezifische Adresse, mit der beispielsweise Daten aus verschiedenen Apps zusammengeführt werden können, ähnlich der Werbe-ID unter iOS oder Android, aber nicht änderbar. Aus diesem Grund hat Google den Zugriff auf die Mac-Adresse beschränkt.
Vorinstallierte Systemapps können auf die Log-Datei zugreifen
Auf die Log-Datei können nur Systemapps, nicht jedoch normale Apps, die beispielsweise über Googles Play Store installiert wurden, zugreifen. Allerdings installieren viele Smartphonehersteller etliche Apps als Systemapps vor.
Diese seien laut einer Studie aus dem Jahr 2020 weit verbreitet, schreibt Reardon. „Auf einem Xiaomi Redmi Note 9 wurden beispielsweise 77 vorinstallierte Apps identifiziert, von denen 54 die READ_LOGS-Berechtigung besitzen. Bei einem Samsung Galaxy A11 wurden 131 privilegierte Apps gefunden, von denen 89 die Berechtigung READ_LOGS hatten.“ Dabei sei erwähnenswert, dass sowohl Samsungs als auch Xiaomis Datenschutzrichtlinien das Sammeln von Protokolldaten explizit erwähnten.
Allerdings seien Xiaomi und Samsung nur Beispiele für eine weit verbreitete Praxis, schreibt Reardon. Wahrscheinlich sei den Herstellern nicht einmal bewusst, dass sie „medizinische und andere sensible Informationen“ durch Googles Implementierung des Exposure Notification Frameworks sammeln. Über mehrere Protokolle von verschiedenen Geräten könnte es möglich sein, die IDs mit Personen in Verbindung zu bringen und einen Kontakt zwischen den Personen zu rekonstruieren, erklärt Reardon.
Das Problem habe man am 19. Februar an Google gemeldet. Da mittlerweile mehr als 60 Tage vergangen seien, folge man der Empfehlung Googles und veröffentliche das Problem, auch wenn dieses noch nicht behoben wurde. Dabei müsse nichts an der Funktion des Programmes geändert werden, betonte Reardon. Es reiche, die eine Zeile Code zu entfernen, die die Daten in das Log schreibt. Mittlerweile kündigte Google an, das Problem beheben zu wollen. (Quelle: u.a. Golem)