Google: Androids Corona-Kontaktverfolgung leakt Daten

Eigentlich sollte nur das Exposure Notification Framework auf die gesammelten Kontakte zugreifen können, doch Android schreibt sie in ein Log.

Artikel veröffentlicht am ,
Contact-Tracing unter Android
Contact-Tracing unter Android (Bild: Markus Winkler/Pixabay)

Die Corona-Warn-App greift zur Kontaktverfolgung auf das Exposure Notification Framework (ENF) von Google und Apple zurück, das die beiden Unternehmen in iOS und Android implementiert haben. Um die Privatsphäre zu gewährleisten, können Apps nicht auf die zur Kontaktverfolgung gesendeten und empfangenen IDs zugreifen.

Stellenmarkt
  1. Mitarbeiter Datenschutz / Compliance - Schwerpunkt IT (w/m/d)
    dmTECH GmbH, Karlsruhe
  2. QA-Engineer (m/w/d)
    innus GmbH, Frankfurt
Detailsuche

Doch genau diese schreibt Google unter Android in eine Log-Datei auf die Systemapps zugreifen können - beispielsweise vorinstallierte Apps der Smartphonehersteller Samsung oder Xiaomi. Das Problem wurde an Google gemeldet, dort hat man es jedoch innerhalb von 60 Tagen nicht behoben.

Auf die Daten des Exposure Notification Frameworks sollten nicht zugegriffen werden können

Das Exposure Notification Framework (ENF)generiert laufend neue IDs, sogenannte Rolling Proximity Identifiers (RPIs), und sendet diese für einen bestimmten Zeitraum per Bluetooth an Geräte in der Umgebung, gleichzeitig empfängt es deren RPIs. Diese stellen damit einen wie auch immer gearteten Kontakt mit einer anderen Person dar.

Neben den empfangenen und gesendeten RPIs schreibt Google auch die Bluetooth-Mac-Adresse des Gerätes in die Log-Datei, auf die andere Apps aus Datenschutzgründen keinen Zugriff haben, schreibt der Sicherheitsforscher Joel Reardon in einem Blogeintrag der Forschungseinrichtung Appcensus, die das Framework untersucht und das Datenleck entdeckt hatte. Die Bluetooth-Mac-Adresse wird jedoch circa alle 15 Minuten geändert, mit dieser ändert sich auch die RPI.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Die Mac-Adresse ist eine eindeutige, gerätespezifische Adresse, mit der beispielsweise Daten aus verschiedenen Apps zusammengeführt werden können, ähnlich der Werbe-ID unter iOS oder Android, aber nicht änderbar. Aus diesem Grund hat Google den Zugriff auf die Mac-Adresse beschränkt.

Vorinstallierte Systemapps können auf die Log-Datei zugreifen

Auf die Log-Datei können nur Systemapps, nicht jedoch normale Apps, die beispielsweise über Googles Play Store installiert wurden, zugreifen. Allerdings installieren viele Smartphonehersteller etliche Apps als Systemapps vor.

Diese seien laut einer Studie aus dem Jahr 2020 weit verbreitet, schreibt Reardon. "Auf einem Xiaomi Redmi Note 9 wurden beispielsweise 77 vorinstallierte Apps identifiziert, von denen 54 die READ_LOGS-Berechtigung besitzen. Bei einem Samsung Galaxy A11 wurden 131 privilegierte Apps gefunden, von denen 89 die Berechtigung READ_LOGS hatten." Dabei sei erwähnenswert, dass sowohl Samsungs als auch Xiaomis Datenschutzrichtlinien das Sammeln von Protokolldaten explizit erwähnten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Allerdings seien Xiaomi und Samsung nur Beispiele für eine weit verbreitete Praxis, schreibt Reardon. Wahrscheinlich sei den Herstellern nicht einmal bewusst, dass sie "medizinische und andere sensible Informationen" durch Googles Implementierung des Exposure Notification Frameworks sammeln. Über mehrere Protokolle von verschiedenen Geräten könnte es möglich sein, die IDs mit Personen in Verbindung zu bringen und einen Kontakt zwischen den Personen zu rekonstruieren, erklärt Reardon.

Das Problem habe man am 19. Februar an Google gemeldet. Da mittlerweile mehr als 60 Tage vergangen seien, folge man der Empfehlung Googles und veröffentliche das Problem, auch wenn dieses noch nicht behoben wurde. Dabei müsse nichts an der Funktion des Programmes geändert werden, betonte Reardon. Es reiche, die eine Zeile Code zu entfernen, die die Daten in das Log schreibt. Mittlerweile kündigte Google an, das Problem beheben zu wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Luftsicherheit
Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
Artikel
  1. Paypal, Impfausweis, Port Royale: Erste Apotheken geben wieder Zertifikate aus
    Paypal, Impfausweis, Port Royale
    Erste Apotheken geben wieder Zertifikate aus

    Sonst noch was? Was am 30. Juli 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  3. VW ID.4 im Test: Schön brav
    VW ID.4 im Test
    Schön brav

    Eine Rakete ist der ID.4 nicht. Dafür bietet das neue E-Auto von VW viel Platz, hält Spur und Geschwindigkeit - und einmal geht es sogar sportlich in die Kurve.
    Ein Test von Werner Pluta

NotReallyMe 01. Mai 2021

Herzlichen Dank. Ich finde es klasse, dass ihr die Kommentarfahnen im Blick habt und bei...

zipper5004 30. Apr 2021

Weiß jemand von die Log-Files abgelegt werden? Ich würde gerne mal rein gucken :-)

smonkey 30. Apr 2021

Bei meinem Samsung waren es vielleicht eine Handvoll Apps die ich als Bloatware...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Marken-Sparen bei MediaMarkt (u. a. Lenovo & Razer) • Tag der Freundschaft bei Saturn: 1 Produkt zahlen, 2 erhalten • Razer Deathadder V2 Pro Gaming-Maus 95€ • Alternate-Deals (u. a. Kingston 16GB Kit DDR4-3200MHz 81,90€) • Razer Kraken X Gaming-Headset 44€ [Werbung]
    •  /