• IT-Karriere:
  • Services:

Google: Androids Corona-Kontaktverfolgung leakt Daten

Eigentlich sollte nur das Exposure Notification Framework auf die gesammelten Kontakte zugreifen können, doch Android schreibt sie in ein Log.

Artikel veröffentlicht am ,
Contact-Tracing unter Android
Contact-Tracing unter Android (Bild: Markus Winkler/Pixabay)

Die Corona-Warn-App greift zur Kontaktverfolgung auf das Exposure Notification Framework (ENF) von Google und Apple zurück, das die beiden Unternehmen in iOS und Android implementiert haben. Um die Privatsphäre zu gewährleisten, können Apps nicht auf die zur Kontaktverfolgung gesendeten und empfangenen IDs zugreifen.

Stellenmarkt
  1. KfW Bankengruppe, Frankfurt am Main
  2. Universitätsklinikum Frankfurt, Frankfurt am Main

Doch genau diese schreibt Google unter Android in eine Log-Datei auf die Systemapps zugreifen können - beispielsweise vorinstallierte Apps der Smartphonehersteller Samsung oder Xiaomi. Das Problem wurde an Google gemeldet, dort hat man es jedoch innerhalb von 60 Tagen nicht behoben.

Auf die Daten des Exposure Notification Frameworks sollten nicht zugegriffen werden können

Das Exposure Notification Framework (ENF)generiert laufend neue IDs, sogenannte Rolling Proximity Identifiers (RPIs), und sendet diese für einen bestimmten Zeitraum per Bluetooth an Geräte in der Umgebung, gleichzeitig empfängt es deren RPIs. Diese stellen damit einen wie auch immer gearteten Kontakt mit einer anderen Person dar.

Neben den empfangenen und gesendeten RPIs schreibt Google auch die Bluetooth-Mac-Adresse des Gerätes in die Log-Datei, auf die andere Apps aus Datenschutzgründen keinen Zugriff haben, schreibt der Sicherheitsforscher Joel Reardon in einem Blogeintrag der Forschungseinrichtung Appcensus, die das Framework untersucht und das Datenleck entdeckt hatte. Die Bluetooth-Mac-Adresse wird jedoch circa alle 15 Minuten geändert, mit dieser ändert sich auch die RPI.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Die Mac-Adresse ist eine eindeutige, gerätespezifische Adresse, mit der beispielsweise Daten aus verschiedenen Apps zusammengeführt werden können, ähnlich der Werbe-ID unter iOS oder Android, aber nicht änderbar. Aus diesem Grund hat Google den Zugriff auf die Mac-Adresse beschränkt.

Vorinstallierte Systemapps können auf die Log-Datei zugreifen

Auf die Log-Datei können nur Systemapps, nicht jedoch normale Apps, die beispielsweise über Googles Play Store installiert wurden, zugreifen. Allerdings installieren viele Smartphonehersteller etliche Apps als Systemapps vor.

Diese seien laut einer Studie aus dem Jahr 2020 weit verbreitet, schreibt Reardon. "Auf einem Xiaomi Redmi Note 9 wurden beispielsweise 77 vorinstallierte Apps identifiziert, von denen 54 die READ_LOGS-Berechtigung besitzen. Bei einem Samsung Galaxy A11 wurden 131 privilegierte Apps gefunden, von denen 89 die Berechtigung READ_LOGS hatten." Dabei sei erwähnenswert, dass sowohl Samsungs als auch Xiaomis Datenschutzrichtlinien das Sammeln von Protokolldaten explizit erwähnten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Allerdings seien Xiaomi und Samsung nur Beispiele für eine weit verbreitete Praxis, schreibt Reardon. Wahrscheinlich sei den Herstellern nicht einmal bewusst, dass sie "medizinische und andere sensible Informationen" durch Googles Implementierung des Exposure Notification Frameworks sammeln. Über mehrere Protokolle von verschiedenen Geräten könnte es möglich sein, die IDs mit Personen in Verbindung zu bringen und einen Kontakt zwischen den Personen zu rekonstruieren, erklärt Reardon.

Das Problem habe man am 19. Februar an Google gemeldet. Da mittlerweile mehr als 60 Tage vergangen seien, folge man der Empfehlung Googles und veröffentliche das Problem, auch wenn dieses noch nicht behoben wurde. Dabei müsse nichts an der Funktion des Programmes geändert werden, betonte Reardon. Es reiche, die eine Zeile Code zu entfernen, die die Daten in das Log schreibt. Mittlerweile kündigte Google an, das Problem beheben zu wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 229,99€ + Versand (Vergleichspreis ca. 300€)
  2. 399€ (Vergleichspreis 419€)
  3. (u. a. LG OLED77CX6LA 77 Zoll OLED für 2.899€, LG 43UP75009LF 43 Zoll LCD für 399€)

NotReallyMe 01. Mai 2021 / Themenstart

Herzlichen Dank. Ich finde es klasse, dass ihr die Kommentarfahnen im Blick habt und bei...

zipper5004 30. Apr 2021 / Themenstart

Weiß jemand von die Log-Files abgelegt werden? Ich würde gerne mal rein gucken :-)

smonkey 30. Apr 2021 / Themenstart

Bei meinem Samsung waren es vielleicht eine Handvoll Apps die ich als Bloatware...

Kommentieren


Folgen Sie uns
       


Geforce RTX 3060 - Test

Schneller als eine Geforce RTX 2070, so günstig wie die Geforce GTX 1060 (theoretisch).

Geforce RTX 3060 - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /