• IT-Karriere:
  • Services:

Covid-19: Ist Contact Tracing mit Bluetooth eine gute Idee?

rC3

Normalerweise stellt Jiska Classen neue Bluetooth-Lücken vor. Auf dem rC3 erklärte sie hingegen, warum Bluetooth für Corona-Apps sinnvoll ist.

Ein Bericht von veröffentlicht am
Contact Tracing in Aktion
Contact Tracing in Aktion (Bild: Markus Winkler/Pixabay)

Normalerweise findet die Sicherheitsforscherin Jiska Classen Sicherheitslücken in Bluetooth, beispielsweise wie es möglich ist, per WLAN Bluetooth auszuknipsen. Auf dem Hackerkongress rC3 erklärte sie jedoch, warum Bluetooth dennoch das beste Protokoll für ein Contact Tracing ist.

Inhalt:
  1. Covid-19: Ist Contact Tracing mit Bluetooth eine gute Idee?
  2. Angriffe auf das Exposure Notification Framework
  3. Auch GPS, Mobilfunk oder WLAN könnten Contact Tracing

Aber brauchen wir überhaupt eine Corona-Warn-App? Natürlich könne eine Contact-Tracing-App allein die Pandemie nicht aufhalten. Sie könne aber dabei helfen, gezielter zu testen, erklärte Classen. Als Beispiel nannte sie Personen ohne Symptome, die bisher kaum getestet würden, da es an Tests mangele. Letztlich rette jede verhinderte Infektion Leben.

Es sei also sehr wichtig, dass es eine Corona-App gebe, sagte Classen. Doch ist Bluetooth wirklich ein gutes Protokoll dafür? Ist Bluetooth nicht notorisch unsicher? In erster Linie sei Bluetooth ein Protokoll, das Daten per Funk übertrage und einige Risiken mit sich bringe - wie alles andere auch, betonte Classen.

Die meisten Sicherheitslücken setzten bestimmte Software- oder Chip-Versionen voraus, beispielsweise die Sicherheitslücke Bluefrag (CVE-2020-0022), die im November 2019 gemeldet und im Februar 2020 gefixt wurde. Betroffen waren damals nur Android 9 und älter, nicht jedoch Android 10. Das besondere an dieser und ähnlichen Lücken sei, dass sie von einem Computerwurm ausgenutzt werden könne - eine Schadsoftware, die sich selbstständig, ohne Interaktion weiterverbreitet.

Ein Bluetooth-Wurm ist möglich, aber unwahrscheinlich

Stellenmarkt
  1. Hessisches Ministerium der Finanzen, Wiesbaden
  2. CHECK24 Versicherungsservice GmbH, München

Ein derartiger Wurm sei jedoch unwahrscheinlich, da sich die Geräte über Bluetooth zwar angreifen, nicht jedoch kontrollieren lassen, erklärte Classen. Bluetooth sei eben kein Mesh-Netzwerk, über das sich eine dauerhafte Verbindung herstellen lasse. "Egal was die Angreifer erreichen möchten, ob Bitcoins minen oder Daten stehlen, letztlich brauchen sie einen Kontrollserver", betonte Classen.

Eine weitere Herausforderung sei, dass der Exploit sehr zuverlässig sein müsse. Denn wenn er Crashes verursache, werde das Problem von Google und Apple erkannt und gefixt - eine wertvolle Sicherheitslücke gehe dann durch einen Patch für die Angreifer verloren. Entsprechend würden Angreifer eher auf bereits bekannte Sicherheitslücken setzen, die jedoch in aktuellen Systemen gepatcht seien und nicht funktionieren würden.

Wahrscheinlicher als ein Wurm seien daher gezielte Angriffe, beispielsweise bei Sicherheitschecks im Flughafen oder auf dem Firmengelände. Insbesondere ein Exploit für aktuelle Android und iOS-Versionen sei eine Menge Arbeit und entsprechend teuer. Angreifer hätten daher meist kein Interesse daran, dass die zugrundeliegende Sicherheitslücke durch einen massenhaften Angriff bekannt werde, sagte Classen.

Wer jedoch Sorge habe, solch einem gezielten Angriff ausgesetzt zu werden, bei dem die Angreifer einen 200.000 US-Dollar teuren Exploit einsetzten, sollte vielleicht lieber gar kein Smartphone verwenden, empfahl Classen. Das gelte auch für Menschen, die die Corona-Warn-App nicht nutzten, weil ihr Smartphone keine Sicherheitsupdates mehr bekomme. Bluetooth sei schließlich nicht das einzige Einfallstor. Auch das Exposure Notification Framework (ENF) von Google und Apple könnte angegriffen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Angriffe auf das Exposure Notification Framework 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. (u. a. mit Speicherangeboten, z. B. Crucial BX500 1 TB für 77€, SanDisk Ultra NVMe SSD 1 TB...
  2. 285,80€ + 5,95€ Versand. Für Neukunden und bei Newsletter-Anmeldung noch günstiger...
  3. (u. a. Microsoft 365 Family | 6 Nutzer | Mehrere PCs/Macs, Tablets und mobile Geräte | 1...

Prof.Dau 29. Dez 2020 / Themenstart

Wer hat ein veraltetes Smartphone? Sehr viele ! Wieviel gehen von denen damit ins...

Denni 28. Dez 2020 / Themenstart

da man damit cm genau Abstände bestimmen kann.. Was für die Lagerlogistik perfekt ist...

Kommentieren


Folgen Sie uns
       


Monkey Island - Titelmusik aller Versionen

Wir haben alle Varianten der Titelmusik im Video zusammengestellt - plus Bonusversion.

Monkey Island - Titelmusik aller Versionen Video aufrufen
Neue Fire-TV-Oberfläche im Test: Noch mehr Nachteile für Prime-Video-Kunden
Neue Fire-TV-Oberfläche im Test
Noch mehr Nachteile für Prime-Video-Kunden

Eigentlich wollte Amazon die Oberfläche von Fire-TV-Geräten verbessern - das ist gründlich misslungen.
Ein Test von Ingo Pakalski

  1. Media Markt und Saturn Erster Smart-TV der Ok-Eigenmarke mit Fire-TV-Oberfläche
  2. Amazon Fire TV Cube wechselt TV-Programm auf Zuruf

Boeing 737 Max: Neustart mit Hindernissen
Boeing 737 Max
Neustart mit Hindernissen

Die Boeing 737 ist nach dem Flugzeugabsturz in Indonesien wieder in den Schlagzeilen. Die Version Max darf seit Dezember wieder fliegen - doch Kritiker halten die Verbesserungen für unzureichend.
Ein Bericht von Friedrich List

  1. Flugzeug Boeing erhält den letzten Auftrag für den Bau der 747
  2. Boeing 737 Max Boeing-Strafverfahren gegen hohe Geldstrafe eingestellt
  3. Zunum Luftfahrt-Startup verklagt Boeing

CPU und GPU vereint: Wie die Fusion zu AMDs Zukunft wurde
CPU und GPU vereint
Wie die Fusion zu AMDs Zukunft wurde

Mit Lauchgemüse und Katzen-Kernen zu Playstation und Xbox: Wir blicken auf ein Jahrzehnt an Accelerated Processing Units (APUs) zurück.
Ein Bericht von Marc Sauter


      •  /