Google: Androids Corona-Kontaktverfolgung leakt Daten

Eigentlich sollte nur das Exposure Notification Framework auf die gesammelten Kontakte zugreifen können, doch Android schreibt sie in ein Log.

Artikel veröffentlicht am ,
Contact-Tracing unter Android
Contact-Tracing unter Android (Bild: Markus Winkler/Pixabay)

Die Corona-Warn-App greift zur Kontaktverfolgung auf das Exposure Notification Framework (ENF) von Google und Apple zurück, das die beiden Unternehmen in iOS und Android implementiert haben. Um die Privatsphäre zu gewährleisten, können Apps nicht auf die zur Kontaktverfolgung gesendeten und empfangenen IDs zugreifen.

Stellenmarkt
  1. Serviceexperte (m/w/d) IT Identity Management (IDM) & AD
    Dürr IT Service GmbH, Bietigheim-Bissingen
  2. Senior Security Consultant (m/w/d)
    NTT Germany AG & Co. KG, Bad Homburg
Detailsuche

Doch genau diese schreibt Google unter Android in eine Log-Datei auf die Systemapps zugreifen können - beispielsweise vorinstallierte Apps der Smartphonehersteller Samsung oder Xiaomi. Das Problem wurde an Google gemeldet, dort hat man es jedoch innerhalb von 60 Tagen nicht behoben.

Auf die Daten des Exposure Notification Frameworks sollten nicht zugegriffen werden können

Das Exposure Notification Framework (ENF)generiert laufend neue IDs, sogenannte Rolling Proximity Identifiers (RPIs), und sendet diese für einen bestimmten Zeitraum per Bluetooth an Geräte in der Umgebung, gleichzeitig empfängt es deren RPIs. Diese stellen damit einen wie auch immer gearteten Kontakt mit einer anderen Person dar.

Neben den empfangenen und gesendeten RPIs schreibt Google auch die Bluetooth-Mac-Adresse des Gerätes in die Log-Datei, auf die andere Apps aus Datenschutzgründen keinen Zugriff haben, schreibt der Sicherheitsforscher Joel Reardon in einem Blogeintrag der Forschungseinrichtung Appcensus, die das Framework untersucht und das Datenleck entdeckt hatte. Die Bluetooth-Mac-Adresse wird jedoch circa alle 15 Minuten geändert, mit dieser ändert sich auch die RPI.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Netzwerktechnik Kompaktkurs
    8.-12. November 2021, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

Die Mac-Adresse ist eine eindeutige, gerätespezifische Adresse, mit der beispielsweise Daten aus verschiedenen Apps zusammengeführt werden können, ähnlich der Werbe-ID unter iOS oder Android, aber nicht änderbar. Aus diesem Grund hat Google den Zugriff auf die Mac-Adresse beschränkt.

Vorinstallierte Systemapps können auf die Log-Datei zugreifen

Auf die Log-Datei können nur Systemapps, nicht jedoch normale Apps, die beispielsweise über Googles Play Store installiert wurden, zugreifen. Allerdings installieren viele Smartphonehersteller etliche Apps als Systemapps vor.

Diese seien laut einer Studie aus dem Jahr 2020 weit verbreitet, schreibt Reardon. "Auf einem Xiaomi Redmi Note 9 wurden beispielsweise 77 vorinstallierte Apps identifiziert, von denen 54 die READ_LOGS-Berechtigung besitzen. Bei einem Samsung Galaxy A11 wurden 131 privilegierte Apps gefunden, von denen 89 die Berechtigung READ_LOGS hatten." Dabei sei erwähnenswert, dass sowohl Samsungs als auch Xiaomis Datenschutzrichtlinien das Sammeln von Protokolldaten explizit erwähnten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Allerdings seien Xiaomi und Samsung nur Beispiele für eine weit verbreitete Praxis, schreibt Reardon. Wahrscheinlich sei den Herstellern nicht einmal bewusst, dass sie "medizinische und andere sensible Informationen" durch Googles Implementierung des Exposure Notification Frameworks sammeln. Über mehrere Protokolle von verschiedenen Geräten könnte es möglich sein, die IDs mit Personen in Verbindung zu bringen und einen Kontakt zwischen den Personen zu rekonstruieren, erklärt Reardon.

Das Problem habe man am 19. Februar an Google gemeldet. Da mittlerweile mehr als 60 Tage vergangen seien, folge man der Empfehlung Googles und veröffentliche das Problem, auch wenn dieses noch nicht behoben wurde. Dabei müsse nichts an der Funktion des Programmes geändert werden, betonte Reardon. Es reiche, die eine Zeile Code zu entfernen, die die Daten in das Log schreibt. Mittlerweile kündigte Google an, das Problem beheben zu wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Macbook Pro
Apple bestätigt High Power Mode für M1 Max

Käufer des Macbook Pro mit M1 Max können wohl in MacOS Monterey per Klick noch mehr Leistung aus dem Gerät herausholen.

Macbook Pro: Apple bestätigt High Power Mode für M1 Max
Artikel
  1. Klage: Google soll E-Privacy und Werbemarkt manipuliert haben
    Klage
    Google soll E-Privacy und Werbemarkt manipuliert haben

    Mehrere US-Bundesstaaten haben Klage gegen Google eingereicht. Das Unternehmen rühmt sich derweil, Regulierungen verlangsamt zu haben.

  2. Bundesregierung: Autobahn App 2.0 im ersten Quartal 2022 geplant
    Bundesregierung
    Autobahn App 2.0 im ersten Quartal 2022 geplant

    Die Opposition kritisiert die massiven Kosten, Nutzer bewerten die App schlecht. Dennoch soll die Autobahn App nun erweitert werden.

  3. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Gutscheinheft mit Direktabzügen und Zugaben • Nur noch heute: Mehrwertsteuer-Aktion bei MediaMarkt • Roccat Suora 43,99€ • Razer Goliathus Extended Chroma Mercury ab 26,99€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. ASUS ROG Strix Z590-A Gaming WIFI 258€) [Werbung]
    •  /