Anzeige
Anzeige
News
Artikel merken

Corona-Warn-App: Mit diesem Trick schützt sie euch vor Hacker-Angriffen

Die Corona-Warn-App überträgt nur pseudonyme Daten und dies stets verschlüsselt. Dennoch könnten findige Hacker im Zweifel Nutzer identifizieren. Mit einem Trick verhindern die Entwickler das.

2 Min. Lesezeit
Anzeige
Anzeige
Corona-Warn-App. (Foto: Marco.Warm / Shutterstock.com)

Auf dem Remote Chaos Communication Congress (rC3) hat Thomas Klingbeil, leitender Entwickler bei SAP, Einblicke in die Architektur der Corona-Warn-App gegeben. Dabei ist besonders ein Feature im Backend des Systems interessant. Denn mithilfe eines einfachen Tricks schützen die Entwickler die App respektive deren Nutzer vor Hackerangriffen.

Corona-Warn-App: Sicher, aber trotzdem angreifbar

Anzeige
Anzeige

Wie inzwischen bekannt sein dürfte, basiert die Corona-Warn-App auf einem dezentralen Ansatz. Das bedeutet, dass ohnehin kaum Daten übertragen werden. Das ist zum einen ein Pro in Sachen Sicherheit, andererseits ein Contra.

Denn es bedeutet im Grunde, dass nennenswerte Datenmengen überwiegend im Fall positiver Testungen übertragen werden – was gleichzeitig die sensibelsten Daten sind. Der normale Datenaustausch im Wege der Bluetooth-Kontakterkennung kann laut Ringbeil nicht zu einer Identifizierung eines Nutzers führen, weil nicht einmal dem kontaktierten Server Rückschlüsse darauf möglich sind.

Anzeige
Anzeige

Anders sähe das im Falle der Übermittlungen positiver Testungen aus. Zwar würde auch hier nur eine Sammlung pseudonymer Krypto-Schlüssel übertragen, allerdings könne ein entsprechend ausgestatteter Angreifer theoretisch den über die im Hintergrund aufgebaute Infrastruktur laufenden Netzwerkverkehr mitschneiden.

Anzeige
Anzeige

Dabei bekäme der Angreifer zwar nicht die Inhalte der Datenpakete zu sehen, er könnte aber anhand der Größe der versandten Datenpakete zumindest Rückschlüsse auf deren Inhalt ziehen. So würde der Angreifer relativ schnell herausfinden können, welche Pakete für welche Anfragen verantwortlich sein könnten. Auch die Information, welcher Server kontaktiert würde, sei bei dieser Vorgehensweise nachvollziehbar.

Im Extremfall könnte ein geduldiger Angreifer aus dem mitgeschnittenen Datenverkehr schlussendlich entwickeln, wann einem Nutzer eine positive Testung per Diagnoseschlüssel übermittelt würde. Prinzipiell könnte der Angreifer dann diesen Schlüssel mit einer IP-Adresse verbinden und im ungünstigsten Fall auch den Nutzer identifizieren.

Anzeige
Anzeige

Corona-Warn-App simuliert Abfragen und erzeugt so Datenrauschen

Deshalb haben die Entwickler eine Art „Rauschen“ in den Datenverkehr eingebaut. Das ist ein vergleichsweise simpler Trick, der schlicht den Datenverkehr massiv erhöht. Das Prinzip ist einfach. Im Hintergrund der Corona-Warn-App werden zusätzliche Endpunkte eingesetzt, denen ständig Datenpakete übermittelt werden, die denen der Diagnosedaten ähneln.

Auf diese Weise kann ein Angreifer nicht erkennen, ob es sich bei dem abgegriffenen Paket um eine echte oder eine falsche Information handelt. Dabei setzen die Entwickler das komplette Verfahren nebst TAN-Abfrage und Übermittlung von Diagnoseschlüsseln ein – ganz so wie es auch im Falle einer positiven Testung erfolgen würde.

Vereinfacht ausgedrückt, fragt jede Installation einer Corona-Warn-App ständig im Hintergrund die Datenpakete an, die sie auch bei einer positiven Testung anfragen würde. So wird jede installierte App für Hacker zu einer Blackbox, deren Datenverkehr real sein kann, aber nicht muss. Da die schiere Menge falscher Informationen die Menge der korrekten Informationen um ein Mehrfaches übersteigt, sinkt die Erfolgswahrscheinlichkeit eines etwaigen Angriffs drastisch.

Anzeige
Anzeige

Laut Ringbeil ergeben sich für die Nutzer der Corona-Warn-App aus diesem Verfahren keine erhöhten Kosten, etwa für den Datenverkehr im individuellen Mobilfunktarif. Entsprechende Vereinbarungen mit den Providern sollen dafür sorgen, dass diese den Traffic der Warn-App nicht auf persönliche Kontingente anrechnen.

Erst vor wenigen Tagen ist die Corona-Warn-App in der Version 1.10 erschienen. Sie führt das lang erwartete Kontakt-Tagebuch ein.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige