News

Corona-Warn-App: Mit diesem Trick schützt sie euch vor Hacker-Angriffen

Corona-Warn-App. (Foto: Marco.Warm / Shutterstock.com)

Lesezeit: 2 Min. Gerade keine Zeit? Jetzt speichern und später lesen

Die Corona-Warn-App überträgt nur pseudonyme Daten und dies stets verschlüsselt. Dennoch könnten findige Hacker im Zweifel Nutzer identifizieren. Mit einem Trick verhindern die Entwickler das.

Auf dem Remote Chaos Communication Congress (rC3) hat Thomas Klingbeil, leitender Entwickler bei SAP, Einblicke in die Architektur der Corona-Warn-App gegeben. Dabei ist besonders ein Feature im Backend des Systems interessant. Denn mithilfe eines einfachen Tricks schützen die Entwickler die App respektive deren Nutzer vor Hackerangriffen.

Corona-Warn-App: Sicher, aber trotzdem angreifbar

Wie inzwischen bekannt sein dürfte, basiert die Corona-Warn-App auf einem dezentralen Ansatz. Das bedeutet, dass ohnehin kaum Daten übertragen werden. Das ist zum einen ein Pro in Sachen Sicherheit, andererseits ein Contra.

Denn es bedeutet im Grunde, dass nennenswerte Datenmengen überwiegend im Fall positiver Testungen übertragen werden – was gleichzeitig die sensibelsten Daten sind. Der normale Datenaustausch im Wege der Bluetooth-Kontakterkennung kann laut Ringbeil nicht zu einer Identifizierung eines Nutzers führen, weil nicht einmal dem kontaktierten Server Rückschlüsse darauf möglich sind.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anders sähe das im Falle der Übermittlungen positiver Testungen aus. Zwar würde auch hier nur eine Sammlung pseudonymer Krypto-Schlüssel übertragen, allerdings könne ein entsprechend ausgestatteter Angreifer theoretisch den über die im Hintergrund aufgebaute Infrastruktur laufenden Netzwerkverkehr mitschneiden.

Dabei bekäme der Angreifer zwar nicht die Inhalte der Datenpakete zu sehen, er könnte aber anhand der Größe der versandten Datenpakete zumindest Rückschlüsse auf deren Inhalt ziehen. So würde der Angreifer relativ schnell herausfinden können, welche Pakete für welche Anfragen verantwortlich sein könnten. Auch die Information, welcher Server kontaktiert würde, sei bei dieser Vorgehensweise nachvollziehbar.

Im Extremfall könnte ein geduldiger Angreifer aus dem mitgeschnittenen Datenverkehr schlussendlich entwickeln, wann einem Nutzer eine positive Testung per Diagnoseschlüssel übermittelt würde. Prinzipiell könnte der Angreifer dann diesen Schlüssel mit einer IP-Adresse verbinden und im ungünstigsten Fall auch den Nutzer identifizieren.

Corona-Warn-App simuliert Abfragen und erzeugt so Datenrauschen

Deshalb haben die Entwickler eine Art „Rauschen“ in den Datenverkehr eingebaut. Das ist ein vergleichsweise simpler Trick, der schlicht den Datenverkehr massiv erhöht. Das Prinzip ist einfach. Im Hintergrund der Corona-Warn-App werden zusätzliche Endpunkte eingesetzt, denen ständig Datenpakete übermittelt werden, die denen der Diagnosedaten ähneln.

Auf diese Weise kann ein Angreifer nicht erkennen, ob es sich bei dem abgegriffenen Paket um eine echte oder eine falsche Information handelt. Dabei setzen die Entwickler das komplette Verfahren nebst TAN-Abfrage und Übermittlung von Diagnoseschlüsseln ein – ganz so wie es auch im Falle einer positiven Testung erfolgen würde.

Vereinfacht ausgedrückt, fragt jede Installation einer Corona-Warn-App ständig im Hintergrund die Datenpakete an, die sie auch bei einer positiven Testung anfragen würde. So wird jede installierte App für Hacker zu einer Blackbox, deren Datenverkehr real sein kann, aber nicht muss. Da die schiere Menge falscher Informationen die Menge der korrekten Informationen um ein Mehrfaches übersteigt, sinkt die Erfolgswahrscheinlichkeit eines etwaigen Angriffs drastisch.

Laut Ringbeil ergeben sich für die Nutzer der Corona-Warn-App aus diesem Verfahren keine erhöhten Kosten, etwa für den Datenverkehr im individuellen Mobilfunktarif. Entsprechende Vereinbarungen mit den Providern sollen dafür sorgen, dass diese den Traffic der Warn-App nicht auf persönliche Kontingente anrechnen.

Erst vor wenigen Tagen ist die Corona-Warn-App in der Version 1.10 erschienen. Sie führt das lang erwartete Kontakt-Tagebuch ein.

Meistgelesen

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 70 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Luca Caracciolo (Chefredakteur t3n) & das gesamte t3n-Team

Anleitung zur Deaktivierung