News

Android-Bug: Rund 400 Apps konnten Covid-19-Kontaktverfolgungsprotokolle lesen

Kontakt-Tracing-API unter Android hatte kritische Sicherheitslücke. (Foto: t3n)

Lesezeit: 2 Min.
Artikel merken

Die Experten von App-Census haben eine Sicherheitslücke in der Android-Version der Kontaktverfolgungs-API von Google und Apple gefunden. Die machte sensible Protokolle für Hunderte Apps lesbar.

Im Auftrag des US-Ministeriums für Innere Sicherheit untersuchten die Forensiker von App-Census die als sicher angepriesene Kontaktverfolgungs-API, die Google und Apple Mitte 2020 gemeinsam als Basis für die allermeisten der auf der Welt genutzten Corona-Warn-Apps entwickelt hatten.

Kleiner Programmfehler reißt große Lücke

Dabei stießen sie in der Android-Version auf einen kuriosen Bug, der in der iOS-Version der Schnittstelle nicht aufgetreten war. Offenbar aufgrund eines fast schon als flüchtig gemachten Fehler zu bezeichnenden Lapsus im Programm-Code schrieb die Covid-19-API nicht nur Systemereignisse in das zugehörige Systemprotokoll, sondern auch sensible Kontaktdaten.

Damit standen diese Kontakt-Daten prinzipiell allen über 400 Apps, die ebenfalls mit Zugriff auf Systemprotokolle ausgestattet sind, zur Verfügung. Das beschreiben die Forensiker von App-Census in einem ausführlichen Blogbeitrag in allen technischen Details.

Schon im Februar wollen sie Google auf das Problem aufmerksam gemacht haben, dass sie als überaus leicht zu beheben beschreiben. Offenbar hätte Google im API-Code nur eine Zeile verändern müssen, die – vermutlich versehentlich – Kontaktdaten mit in das System-Log geschrieben hatte. Laut Chef-Forensiker Dr. Joel Reardon von App-Census wäre diese Änderung für Google ein Klacks gewesen. Sie hätte weder irgendwelche Apps tangiert, noch irgendwas am Funktionsprinzip der API geändert.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Google soll Meldung der Sicherheitslücke ignoriert haben

Umso überraschter war man bei App-Census, als klar wurde, dass Google keine Anstalten machen wollte, den Fehler zu beheben. Immer wieder will App-Census-CTO Serge Edelman Google kontaktiert und auf den Fehler hingewiesen haben. Dort sei er stets abgeblitzt.

Erst als sich die Kollegen von The Markup des Problems angenommen hatten und Google offiziell um eine Stellungnahme dazu baten, soll Schwung in die Angelegenheit gekommen sein. Das war allerdings erst in der vergangenen Woche.

Ruckzuck soll Google das Problem, das sie über fast zwei Monate ignoriert haben sollen, dann beseitigt haben. Gegenüber The Markup ließ Google verlauten, man habe ein entsprechendes Update bereits vor Wochen vorgenommen und in den Roll-out gegeben. In den nächsten Tagen sollten alle betroffenen Smartphones aktualisiert sein.

Eine Gefahr habe zu keinem Zeitpunkt bestanden, weil die Systemprotokolle das jeweilige Gerät nicht verlassen können. Das regt Chef-Forensiker Reardon maßlos auf. Sowas können sie nicht einfach behaupten, schimpft er. Sie wüssten schließlich gar nicht, welche App eventuell doch die Systemprotokolle sammele und auf irgendeine Weise verarbeite.

Warum könnte Google nicht reagiert haben?

Zwei plausible Gründe sind denkbar, warum Google das Problem tatsächlich nicht so ernst genommen haben könnte. Zum einen betrifft die Problematik nur vorinstallierte Apps. Nur diese von namhaften Herstellern wie Samsung oder Motorola auf ihren Smartphones werksseitig vorinstallierten Apps erhalten Zugriff auf die Systemprotokolle. Die Gefährdungslage mag Google unter diesem Aspekt als gering beurteilt haben.

Zum anderen muss eine App, die theoretisch eine Information lesen kann, das nicht auch tatsächlich tun. Das dürfte bei den typischerweise vorinstallierten Apps nahezu ausgeschlossen sein, zumal die Lücke nach aktuellem Stand der Dinge niemandem sonst bekannt war. Hier könnte Google den infrage kommenden App-Entwicklern – wohl zu Recht – schlicht die nötige kriminelle Energie nicht zugetraut haben. Auch unter diesem Aspekt mag die Gefährdungsbeurteilung ein schwaches Risiko ergeben haben.

Dennoch darf ein Hersteller mit einer kommunizierten Lücke, die potenziell sensible Gesundheitsdaten betrifft, nicht dermaßen lax umgehen, wie das Google in diesem Fall getan haben soll.

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Ein Kommentar
Hel
Hel

Also, um welche “ Covid-19-Kontaktverfolgungsprotokolle“ geht´s denn hier?
Um die der Corona Warn App?
Wohl eher nicht.
Oder was jetzt?

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder