Android: Sicherheitslücke beim Contact Tracing – Logs von Corona-Warn-App & Co lassen sich auslesen

android 

Google und Apple haben vor knapp einem Jahr eiligst eine Infrastruktur geschaffen, um das Contact Tracing per Smartphone zu ermöglichen und haben die entsprechende Funktionalität in die Betriebssysteme Android und iOS integriert. Auf technischer Seite hat das von Beginn an nahezu problemlos funktioniert, doch nun wurde eine Sicherheitslücke bekannt, die Google zu Beginn wohl gar nicht beheben wollte: Vorinstallierte Apps konnten die gesammelten Daten auslesen.


android 10 dark mode logo

Viele Länder haben aufbauend auf den APIs von Apple und Google eigene Contact Tracing-Lösungen entwickelt, in Deutschland ist es die bekannte Corona-Warn-App. Trotz der eiligen Entwicklung hat das sehr gut funktioniert, doch nun wurde eine Sicherheitslücke bekannt, die eines der Grundversprechen widerlegt: Den Datenschutz. Wie Sicherheitsforscher herausgefunden haben, lassen sich die unter Android protokollierten Kontaktdaten von vorinstallierten Apps abrufen – und zwar ohne große Umwege und auf direktem Wege.

Die Daten liegen zwar relativ tief im Betriebssystem und sind nur mit speziellen Rechten abrufbar, aber viele vorinstallierte Apps besitzen genau diese Rechte. Google wurde bereits im Februar über das Problem informiert, hat es aber weder mit dem März- noch mit dem April-Sicherheitsupdate behoben. Dabei ließe es sich, laut Aussagen der Entdecker, mit nur wenigen Zeilen Code beheben. Nun soll der Fix ausgerollt werden, vermutlich in der kommenden Woche mit dem Mai-Sicherheitsupdate. Fraglich, warum das so lange gedauert hat.

Die Gefahr, dass eine App die Daten ausliest und verwendet, war natürlich überschaubar. Denn grundsätzlich sollten auf den Smartphones vorinstallierte Apps mehr oder weniger vertrauenswürdig sein und nicht von den “bösen Buben” verteilt worden sein. Dementsprechend sind keine Fälle bekannt, in denen diese Sicherheitslücke ausgenutzt worden sein soll.

» Android: Viele Millionen Nutzer kämpften mit plötzlichen App-Abstürzen; So will Google das zukünftig verhindern

» Alle gegen Googles Tracking: Microsoft, WordPress und viele Browser blockieren Googles neues FLoC-Tracking

[The Verge]


Keine Google-News mehr verpassen: Abonniere den GoogleWatchBlog-Newsletter
GoogleWatchBlog Newsletter abonnieren


Teile diesen Artikel:

Facebook twitter Pocket Pocket

comment 2 Kommentare zum Thema "Android: Sicherheitslücke beim Contact Tracing – Logs von Corona-Warn-App & Co lassen sich auslesen"

  • Das war’s wohl mit der App. Was bringen mir Sicherheitsupdates, wenn LG mir keine mehr bringt? Dann muss die App weg.

    • Oder das LG Smartphone muss weg.

      Das wäre sogar in zweierlei Hinsicht besser: wegen der fehlenden, aktuellen Sicherheitsupdates und weil dank der Corona-Warn-App wieder eine einfachere Kontaktverfolgung möglich wäre.

Kommentare sind geschlossen.