Im Auftrag des US-Ministeriums für Innere Sicherheit untersuchten die Forensiker von App-Census die als sicher angepriesene Kontaktverfolgungs-API, die Google und Apple Mitte 2020 gemeinsam als Basis für die allermeisten der auf der Welt genutzten Corona-Warn-Apps entwickelt hatten.

Dabei stießen sie in der Android-Version auf einen kuriosen Bug, der in der iOS-Version der Schnittstelle nicht aufgetreten war. Offenbar aufgrund eines fast schon als flüchtig gemachten Fehler zu bezeichnenden Lapsus im Programm-Code schrieb die Covid-19-API nicht nur Systemereignisse in das zugehörige Systemprotokoll, sondern auch sensible Kontaktdaten.

Damit standen diese Kontakt-Daten prinzipiell allen über 400 Apps, die ebenfalls mit Zugriff auf Systemprotokolle ausgestattet sind, zur Verfügung. Das beschreiben die Forensiker von App-Census in einem ausführlichen Blogbeitrag in allen technischen Details.

Schon im Februar wollen sie Google auf das Problem aufmerksam gemacht haben, dass sie als überaus leicht zu beheben beschreiben. Offenbar hätte Google im API-Code nur eine Zeile verändern müssen, die – vermutlich versehentlich – Kontaktdaten mit in das System-Log geschrieben hatte. Laut Chef-Forensiker Dr. Joel Reardon von App-Census wäre diese Änderung für Google ein Klacks gewesen. Sie hätte weder irgendwelche Apps tangiert, noch irgendwas am Funktionsprinzip der API geändert.

Umso überraschter war man bei App-Census, als klar wurde, dass Google keine Anstalten machen wollte, den Fehler zu beheben. Immer wieder will App-Census-CTO Serge Edelman Google kontaktiert und auf den Fehler hingewiesen haben. Dort sei er stets abgeblitzt.

Erst als sich die Kollegen von The Markup des Problems angenommen hatten und Google offiziell um eine Stellungnahme dazu baten, soll Schwung in die Angelegenheit gekommen sein. Das war allerdings erst in der vergangenen Woche.

Ruckzuck soll Google das Problem, das sie über fast zwei Monate ignoriert haben sollen, dann beseitigt haben. Gegenüber The Markup ließ Google verlauten, man habe ein entsprechendes Update bereits vor Wochen vorgenommen und in den Roll-out gegeben. In den nächsten Tagen sollten alle betroffenen Smartphones aktualisiert sein.

Eine Gefahr habe zu keinem Zeitpunkt bestanden, weil die Systemprotokolle das jeweilige Gerät nicht verlassen können. Das regt Chef-Forensiker Reardon maßlos auf. Sowas können sie nicht einfach behaupten, schimpft er. Sie wüssten schließlich gar nicht, welche App eventuell doch die Systemprotokolle sammele und auf irgendeine Weise verarbeite.

Zwei plausible Gründe sind denkbar, warum Google das Problem tatsächlich nicht so ernst genommen haben könnte. Zum einen betrifft die Problematik nur vorinstallierte Apps. Nur diese von namhaften Herstellern wie Samsung oder Motorola auf ihren Smartphones werksseitig vorinstallierten Apps erhalten Zugriff auf die Systemprotokolle. Die Gefährdungslage mag Google unter diesem Aspekt als gering beurteilt haben.

Zum anderen muss eine App, die theoretisch eine Information lesen kann, das nicht auch tatsächlich tun. Das dürfte bei den typischerweise vorinstallierten Apps nahezu ausgeschlossen sein, zumal die Lücke nach aktuellem Stand der Dinge niemandem sonst bekannt war. Hier könnte Google den infrage kommenden App-Entwicklern – wohl zu Recht – schlicht die nötige kriminelle Energie nicht zugetraut haben. Auch unter diesem Aspekt mag die Gefährdungsbeurteilung ein schwaches Risiko ergeben haben.

Dennoch darf ein Hersteller mit einer kommunizierten Lücke, die potenziell sensible Gesundheitsdaten betrifft, nicht dermaßen lax umgehen, wie das Google in diesem Fall getan haben soll.