Kaum ist die deutsche Corona-App in den App-Stores verfügbar, gibt es die nächsten Probleme. Deutsche Forscher bestätigten im Praxistest: Auch mit einer dezentralen Corona-App lassen sich Bewegungsprofile einzelner Nutzer erstellen – und Infizierte virtuell an andere Orte beamen, die dort andere anstecken.

Eine Studie der Technischen Universität Darmstadt (TUD), der Philipps-Universität Marburg (PUM) und Julius-Maximilians-Universität Würzburg (JMU) bestätigte jüngst, was Datenschützer seit Wochen befürchten: Auch mit einer dezentralen Corona-App lassen sich Bewegungsprofile der Nutzer erstellen.

Ein Praxistest zeigte zudem, dass man Nutzer identifizieren und angeblich infizierte, nicht existierende Klone in ferne Städte kopieren kann. Damit könnte ein „infizierter Geist“ in eine Veranstaltung oder Lokalität platziert werden und sämtliche dort anwesende Personen „infizieren“.

Das Forschungsteam belegte, dass die App einerseits anfällig ist für die Erstellung von Profilen und so möglicherweise die De-Anonymisierung von infizierten Personen erlaubt. Andererseits sind auch sogenannte Relay- oder Wurmloch-Angriffe möglich. Dadurch können Angreifer falsche Kontaktinformationen generieren, die der Genauigkeit und Korrektheit des Gesamtsystems schaden.

Bewegungsprofile auch ohne GPS – mit einfachen Mitteln – möglich

Als eine von weltweit bislang 27 nationalen Corona-Apps verspricht die ab heute erhaltbare „Corona-Warn-App“ des Robert Koch-Instituts, „den manuellen Aufwand zur Identifikation von Infektionsketten erheblich zu reduzieren und die Abdeckung der Kontaktnachverfolgung zu erhöhen“, schrieb die Universität Marburg auf ihrer Webseite. Grundlage der App ist eine Zusammenarbeit der Konzerne Google und Apple, um eine Schnittstelle auf ihren Smartphones zu bieten.

Auf diesem Ansatz basiert unter anderem die von der Deutschen Telekom und SAP im Auftrag der Bundesregierung entwickelte deutsche Corona-App. Neben den Deutschen nutzen auch die Schweizer („Swiss Contact Tracing App“) und die Italiener („Immuni“) diese Plattform. Laut „Covid Tracking Tracker“ des MIT greifen zudem Malaysia, Irland, Estland und Österreich auf GAP zurück.

Ausgangspunkt für die Experimente der IT-Sicherheitsexperten der drei Universitäten waren zuvor veröffentlichte Berichte über mögliche Datenschutz- und Sicherheitsrisiken im Zusammenhang mit den Entwicklungen des sogenannten „Google Apple Protokoll“ (GAP).

Basierend auf bereits publizierten Spezifikationen zeigen die Ergebnisse, dass bei Verwendung strategisch platzierter Sensoren auf Smartphones in einem bestimmten Gebiet die, durch Testpersonen simulierte, Bewegungen infizierter Personen detailliert rekonstruiert werden können. Dadurch war es möglich, sensible Aufenthaltsorte der Testpersonen sowie mögliche soziale Beziehungen zwischen ihnen zu identifizieren.

„Wurmlöcher“ beamen virtuelle Infizierte in andere Städte

Die Anfälligkeit von GAP für sogenannte Relay- oder Wurmloch-Attacken offenbart ebenfalls Schwächen.

Diese Methode versetzt einen Angreifer in die Lage, die sogenannten Bluetooth-Benutzer-IDs, die von der App erzeugt werden, zu sammeln und unbemerkt an entfernte Orte weiterzuleiten. So konnten die Forscher unter anderem eine Bluetooth-IDs zwischen zwei 40 Kilometer voneinander entfernten Städten übertragen.

Dadurch kann ein Angreifer die Kontaktverfolgung als Ganzes beeinträchtigen, indem er Informationen über die Anwesenheit von Infizierten an vielen Orten fälschlicherweise dupliziert. Dies führt zu einer erheblichen Anzahl von Fehlalarmen über das potenzielle Infektionsrisiko und belastet Rechenzentren und Labore unnötig.

Das Forschungsteam realisierte die Angriffe in realen Szenarien mithilfe handelsüblicher preiswerter Werkzeuge wie Bluetooth-Sniffer. Diese können als Smartphone-App oder auf Raspberry Pis auch in mobilen Umgebungen eingesetzt werden. Die Forscher kommen daher zu dem Schluss, dass die Corona-App, beziehungsweise ihre GAP-Grundlage, „deutliches Verbesserungspotenzial“ aufweist.

NEWSLETTER
0 0 vote
Article Rating
3 Comments
Most Voted
Newest Oldest
Inline Feedbacks
View all comments
Loburk
22/06/2020 10:40

Wer so ein Mist verzapft der auch noch unverschämte 60 Millionen € kostet der ist echt gesellschaftlich am Ende angekommen , nur wissen Sie es NOCH nicht….

trackback

[…] Bewegungsprofile + „infizierte Geister“: Probleme mit Corona-App bestätigt…Bewegungsprofile e… […]

Translate »