Covid-19: Ist Contact Tracing mit Bluetooth eine gute Idee?
Normalerweise findet die Sicherheitsforscherin Jiska Classen Sicherheitslücken in Bluetooth , beispielsweise wie es möglich ist, per WLAN Bluetooth auszuknipsen . Auf dem Hackerkongress rC3 erklärte sie(öffnet im neuen Fenster) jedoch, warum Bluetooth dennoch das beste Protokoll für ein Contact Tracing ist.
Aber brauchen wir überhaupt eine Corona-Warn-App? Natürlich könne eine Contact-Tracing-App allein die Pandemie nicht aufhalten. Sie könne aber dabei helfen, gezielter zu testen, erklärte Classen. Als Beispiel nannte sie Personen ohne Symptome, die bisher kaum getestet würden, da es an Tests mangele. Letztlich rette jede verhinderte Infektion Leben.
Es sei also sehr wichtig, dass es eine Corona-App gebe, sagte Classen. Doch ist Bluetooth wirklich ein gutes Protokoll dafür? Ist Bluetooth nicht notorisch unsicher? In erster Linie sei Bluetooth ein Protokoll, das Daten per Funk übertrage und einige Risiken mit sich bringe – wie alles andere auch, betonte Classen.
Die meisten Sicherheitslücken setzten bestimmte Software- oder Chip-Versionen voraus, beispielsweise die Sicherheitslücke Bluefrag (CVE-2020-0022) , die im November 2019 gemeldet und im Februar 2020 gefixt wurde. Betroffen waren damals nur Android 9 und älter, nicht jedoch Android 10. Das besondere an dieser und ähnlichen Lücken sei, dass sie von einem Computerwurm ausgenutzt werden könne – eine Schadsoftware, die sich selbstständig, ohne Interaktion weiterverbreitet.
Ein Bluetooth-Wurm ist möglich, aber unwahrscheinlich
Ein derartiger Wurm sei jedoch unwahrscheinlich, da sich die Geräte über Bluetooth zwar angreifen, nicht jedoch kontrollieren lassen, erklärte Classen. Bluetooth sei eben kein Mesh-Netzwerk, über das sich eine dauerhafte Verbindung herstellen lasse. "Egal was die Angreifer erreichen möchten, ob Bitcoins minen oder Daten stehlen, letztlich brauchen sie einen Kontrollserver," betonte Classen.
Eine weitere Herausforderung sei, dass der Exploit sehr zuverlässig sein müsse. Denn wenn er Crashes verursache, werde das Problem von Google und Apple erkannt und gefixt – eine wertvolle Sicherheitslücke gehe dann durch einen Patch für die Angreifer verloren. Entsprechend würden Angreifer eher auf bereits bekannte Sicherheitslücken setzen, die jedoch in aktuellen Systemen gepatcht seien und nicht funktionieren würden.
Wahrscheinlicher als ein Wurm seien daher gezielte Angriffe, beispielsweise bei Sicherheitschecks im Flughafen oder auf dem Firmengelände. Insbesondere ein Exploit für aktuelle Android und iOS-Versionen sei eine Menge Arbeit und entsprechend teuer. Angreifer hätten daher meist kein Interesse daran, dass die zugrundeliegende Sicherheitslücke durch einen massenhaften Angriff bekannt werde, sagte Classen.
Wer jedoch Sorge habe, solch einem gezielten Angriff ausgesetzt zu werden, bei dem die Angreifer einen 200.000 US-Dollar teuren Exploit einsetzten, sollte vielleicht lieber gar kein Smartphone verwenden, empfahl Classen. Das gelte auch für Menschen, die die Corona-Warn-App nicht nutzten, weil ihr Smartphone keine Sicherheitsupdates mehr bekomme. Bluetooth sei schließlich nicht das einzige Einfallstor. Auch das Exposure Notification Framework (ENF) von Google und Apple könnte angegriffen werden.
Angriffe auf das Exposure Notification Framework
Mit einer Wormhole-Attacke sei es möglich, die ausgesendeten Exposure Notifications an einem belebten Ort aufzuzeichen und an anderen Orten wieder auszuspielen, erläuterte die Sicherheitsforscherin. Dadurch würden den Smartphones Kontakte vorgegaukelt, die gar nicht stattgefunden hätten. Im schlimmsten Fall könne dies jedoch lediglich zu mehr Tests und Quarantäne führen.
Mehr Krankheitsfälle könnten durch den dezentralen Ansatz des Exposure Notification Framework jedoch nicht erzeugt werden. Dieser sichere ohnehin, dass weder der Staat noch Apple und Google an die Kontaktdaten der Betroffenen herankämen, betonte Classen. Weil es die Kontaktdaten nur auf den einzelnen Smartphones gebe, lohne es sich auch nicht, die Server der Corona-Warn-App anzugreifen.
Ein anderer Angriff könnte die Zeitaktualisierung der Smartphones ins Visier nehmen, die über sogenannte NTP-Server erfolgt. Gelänge es einem Angreifer, die Zeit auf dem Smartphone zu ändern, könnte die Corna-Warn-App alte Corona-Kontakte akzeptieren – sofern diese auf dem Server der App überhaupt noch vorhanden seien, betonte Classen.
Ein immer wieder genannter Kritikpunkt an dem Contact Tracing per Bluetooth sei, dass dieses auch zum Tracking von Personen verwendet werden könne, wenn jemand die ausgesendeten Notifications mit vielen Geräten mitschneide. Das sei zwar technisch möglich, funktioniere aber genauso mit Wi-Fi oder Mobilfunk, betonte die Sicherheitsforscherin.
Doch eignet sich Bluetooth überhaupt für das Contact Tracing und gibt es nicht bessere Alternativen im Smartphone? Auch auf diese Frage ging Classen ein.
Auch GPS, Mobilfunk oder WLAN könnten Contact Tracing
Grundsätzlich kämen neben Bluetooth auch GPS, Ultra-Wideband (UWB), Mobilfunk, WLAN oder eine Audio-Übertragung in Frage, sagte Classen. Doch GPS funktioniere nur draußen, während sich die meisten Menschen in Räumen infizierten. Mit Mobilfunk könnten zwar in etwa die Wege und Aufenthaltsorte von Personen herausgefunden werden, allerdings viel zu ungenau für ein Contact Tracing. Ultra-Wideband (UWB) hingegen sei grundsätzlich geeignet, aber noch in zu wenigen Geräten verbaut.
Auch WLAN komme nicht wirklich für ein Contact Tracing in Frage: Zwar könnten die meisten Smartphones Access Points aufspannen, deren Signalstärke gemessen werden könne. Das verbrauche allerdings viel Strom, das Smartphone könne nicht zur gleichen Zeit in einen Hotspot eingebucht sein und obendrein würden die die derzeitigen WLAN-Schnittstellen keine genaue Abstandsmessung unterstützen, erklärte Classen. Auch wenn es einzelne herstellerspezifische Erweiterungen gebe, die Letzteres könnten – der Großteil der Geräte könne dies nicht.
Am besten funktioniert eine Distanzmessung laut Classen über Audio, sprich die Geräte senden Töne aus, die andere Geräte aufnehmen. Das funktioniere ohne eine Firmwaremodifikation, betonte Classen. Dafür brauche die Corona-Tracing-App jedoch permanent Zugriff auf das Mikrofon. "Du hast dann eine staatliche App in der Tasche, die kontinuierlich alles aufnimmt," gab Classen zu bedenken. Allein deshalb scheide diese Option aus. Obendrein verbrauche sie viel Energie.
Im Moment gibt es keine Alternativen zu Bluetooth
Letztlich bleibe also Bluetooth als beste Option übrig, welches sich mit dem WLAN das 2,4-GHz-Band teilt. Das habe den Nachteil, dass die Signale durch Wasser gestört würden – und Menschen bestünden zu 60 Prozent aus Wasser, betonte Classen. Zudem sei die Signalstärke abhängig vom Smartphonemodell. In einer neueren API-Version von Apples und Googles Exposure Notification Framework (ENF) werde die Signalstärke jedoch mit gesendet.
Ganz löse das die Probleme zwar noch nicht, verbessere jedoch die Situation, erklärt Classen. Zwar könne die Genauigkeit des Signals noch mit anderen Techniken wie etwa dem Beschleunigungssensor erhöht werden, alle Verbesserungen würden nach Darstellung von Classen jedoch auf Kosten des Akkus, der Privatsphäre und der Sicherheit gehen.
Aber braucht Bluetooth nicht auch unglaublich viel Energie? Verwendet werde Bluetooth Low Energy (BLE), das tatsächlich sehr wenig Energie benötige. Eine Knopfzelle könne ein BLE-Gerät ein Jahr betreiben, erklärte Classen. Zudem würden häufig WLAN und Bluetooth über einen Chip realisiert, bei aktivem WLAN mache ein aktiviertes Bluetooth also keinen Unterschied.
Zusammengefasst sei Bluetooth Low Energy zwar alles andere als perfekt, sagte Classen, aber das beste Protokoll, das wir in allen Smartphones hätten und das funktioniere.
- Anzeige Hier geht es zum Eero Pro 6 bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.