Google: Androids Corona-Kontaktverfolgung leakt Daten

Eigentlich sollte nur das Exposure Notification Framework auf die gesammelten Kontakte zugreifen können, doch Android schreibt sie in ein Log.

Artikel veröffentlicht am ,
Contact-Tracing unter Android
Contact-Tracing unter Android (Bild: Markus Winkler/Pixabay)

Die Corona-Warn-App greift zur Kontaktverfolgung auf das Exposure Notification Framework (ENF) von Google und Apple zurück, das die beiden Unternehmen in iOS und Android implementiert haben. Um die Privatsphäre zu gewährleisten, können Apps nicht auf die zur Kontaktverfolgung gesendeten und empfangenen IDs zugreifen.

Doch genau diese schreibt Google unter Android in eine Log-Datei auf die Systemapps zugreifen können - beispielsweise vorinstallierte Apps der Smartphonehersteller Samsung oder Xiaomi. Das Problem wurde an Google gemeldet, dort hat man es jedoch innerhalb von 60 Tagen nicht behoben.

Auf die Daten des Exposure Notification Frameworks sollten nicht zugegriffen werden können

Das Exposure Notification Framework (ENF)generiert laufend neue IDs, sogenannte Rolling Proximity Identifiers (RPIs), und sendet diese für einen bestimmten Zeitraum per Bluetooth an Geräte in der Umgebung, gleichzeitig empfängt es deren RPIs. Diese stellen damit einen wie auch immer gearteten Kontakt mit einer anderen Person dar.

Neben den empfangenen und gesendeten RPIs schreibt Google auch die Bluetooth-Mac-Adresse des Gerätes in die Log-Datei, auf die andere Apps aus Datenschutzgründen keinen Zugriff haben, schreibt der Sicherheitsforscher Joel Reardon in einem Blogeintrag der Forschungseinrichtung Appcensus, die das Framework untersucht und das Datenleck entdeckt hatte. Die Bluetooth-Mac-Adresse wird jedoch circa alle 15 Minuten geändert, mit dieser ändert sich auch die RPI.

Die Mac-Adresse ist eine eindeutige, gerätespezifische Adresse, mit der beispielsweise Daten aus verschiedenen Apps zusammengeführt werden können, ähnlich der Werbe-ID unter iOS oder Android, aber nicht änderbar. Aus diesem Grund hat Google den Zugriff auf die Mac-Adresse beschränkt.

Vorinstallierte Systemapps können auf die Log-Datei zugreifen

Auf die Log-Datei können nur Systemapps, nicht jedoch normale Apps, die beispielsweise über Googles Play Store installiert wurden, zugreifen. Allerdings installieren viele Smartphonehersteller etliche Apps als Systemapps vor.

Diese seien laut einer Studie aus dem Jahr 2020 weit verbreitet, schreibt Reardon. "Auf einem Xiaomi Redmi Note 9 wurden beispielsweise 77 vorinstallierte Apps identifiziert, von denen 54 die READ_LOGS-Berechtigung besitzen. Bei einem Samsung Galaxy A11 wurden 131 privilegierte Apps gefunden, von denen 89 die Berechtigung READ_LOGS hatten." Dabei sei erwähnenswert, dass sowohl Samsungs als auch Xiaomis Datenschutzrichtlinien das Sammeln von Protokolldaten explizit erwähnten.

Allerdings seien Xiaomi und Samsung nur Beispiele für eine weit verbreitete Praxis, schreibt Reardon. Wahrscheinlich sei den Herstellern nicht einmal bewusst, dass sie "medizinische und andere sensible Informationen" durch Googles Implementierung des Exposure Notification Frameworks sammeln. Über mehrere Protokolle von verschiedenen Geräten könnte es möglich sein, die IDs mit Personen in Verbindung zu bringen und einen Kontakt zwischen den Personen zu rekonstruieren, erklärt Reardon.

Das Problem habe man am 19. Februar an Google gemeldet. Da mittlerweile mehr als 60 Tage vergangen seien, folge man der Empfehlung Googles und veröffentliche das Problem, auch wenn dieses noch nicht behoben wurde. Dabei müsse nichts an der Funktion des Programmes geändert werden, betonte Reardon. Es reiche, die eine Zeile Code zu entfernen, die die Daten in das Log schreibt. Mittlerweile kündigte Google an, das Problem beheben zu wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


NotReallyMe 01. Mai 2021

Herzlichen Dank. Ich finde es klasse, dass ihr die Kommentarfahnen im Blick habt und bei...

zipper5004 30. Apr 2021

Weiß jemand von die Log-Files abgelegt werden? Ich würde gerne mal rein gucken :-)

smonkey 30. Apr 2021

Bei meinem Samsung waren es vielleicht eine Handvoll Apps die ich als Bloatware...



Aktuell auf der Startseite von Golem.de
Suchmaschine
Bing mit ChatGPT war für kurze Zeit online

Microsoft will ChatGPT in die Suchmaschine Bing einbauen. Was uns erwartet, konnten einige Nutzer kurzfristig sehen.

Suchmaschine: Bing mit ChatGPT war für kurze Zeit online
Artikel
  1. Politische Ansichten auf Google Drive: Letzte Generation mit Datenschutz-Super-GAU
    Politische Ansichten auf Google Drive
    Letzte Generation mit Datenschutz-Super-GAU

    Die Aktivisten der Letzten Generation haben Daten von Unterstützern mitsamt politischer Meinung und Gefängnisbereitschaft ungeschützt auf Google Drive gelagert.

  2. Madison Square Garden: Gesichtserkennungs-Software weist unliebsame Besucher ab
    Madison Square Garden
    Gesichtserkennungs-Software weist unliebsame Besucher ab

    Im New Yorker Madison Square Garden kommt seit Jahren Gesichtserkennungs-Software zum Einsatz - mit unangenehmen Folgen für Kanzleimitarbeiter.

  3. Nach Prämiensenkung: Weniger Marktanteil für Elektroautos 2023 erwartet
    Nach Prämiensenkung
    Weniger Marktanteil für Elektroautos 2023 erwartet

    Die Förderprämien für Elektroautos wurden gesenkt, was nach Ansicht der Autohersteller zu einem Rückgang des Marktanteils führen wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Roccat Magma + Burst Pro 59€ • Roccat Vulcan 121 89,99€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate: Toshiba MG10 20 TB 299€ • Alternate Weekend Sale • MindStar: Fastro MS200 SSD 2TB 95€ • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • RAM-Tiefstpreise • PCGH Cyber Week [Werbung]
    •  /