• IT-Karriere:
  • Services:

Covid-19: Ist Contact Tracing mit Bluetooth eine gute Idee?

rC3

Normalerweise stellt Jiska Classen neue Bluetooth-Lücken vor. Auf dem rC3 erklärte sie hingegen, warum Bluetooth für Corona-Apps sinnvoll ist.

Ein Bericht von veröffentlicht am
Contact Tracing in Aktion
Contact Tracing in Aktion (Bild: Markus Winkler/Pixabay)

Normalerweise findet die Sicherheitsforscherin Jiska Classen Sicherheitslücken in Bluetooth, beispielsweise wie es möglich ist, per WLAN Bluetooth auszuknipsen. Auf dem Hackerkongress rC3 erklärte sie jedoch, warum Bluetooth dennoch das beste Protokoll für ein Contact Tracing ist.

Inhalt:
  1. Covid-19: Ist Contact Tracing mit Bluetooth eine gute Idee?
  2. Angriffe auf das Exposure Notification Framework
  3. Auch GPS, Mobilfunk oder WLAN könnten Contact Tracing

Aber brauchen wir überhaupt eine Corona-Warn-App? Natürlich könne eine Contact-Tracing-App allein die Pandemie nicht aufhalten. Sie könne aber dabei helfen, gezielter zu testen, erklärte Classen. Als Beispiel nannte sie Personen ohne Symptome, die bisher kaum getestet würden, da es an Tests mangele. Letztlich rette jede verhinderte Infektion Leben.

Es sei also sehr wichtig, dass es eine Corona-App gebe, sagte Classen. Doch ist Bluetooth wirklich ein gutes Protokoll dafür? Ist Bluetooth nicht notorisch unsicher? In erster Linie sei Bluetooth ein Protokoll, das Daten per Funk übertrage und einige Risiken mit sich bringe - wie alles andere auch, betonte Classen.

Die meisten Sicherheitslücken setzten bestimmte Software- oder Chip-Versionen voraus, beispielsweise die Sicherheitslücke Bluefrag (CVE-2020-0022), die im November 2019 gemeldet und im Februar 2020 gefixt wurde. Betroffen waren damals nur Android 9 und älter, nicht jedoch Android 10. Das besondere an dieser und ähnlichen Lücken sei, dass sie von einem Computerwurm ausgenutzt werden könne - eine Schadsoftware, die sich selbstständig, ohne Interaktion weiterverbreitet.

Ein Bluetooth-Wurm ist möglich, aber unwahrscheinlich

Stellenmarkt
  1. Helios IT Service GmbH, Berlin-Buch
  2. InterSearch Personalberatung GmbH & Co. KG, Hamburg

Ein derartiger Wurm sei jedoch unwahrscheinlich, da sich die Geräte über Bluetooth zwar angreifen, nicht jedoch kontrollieren lassen, erklärte Classen. Bluetooth sei eben kein Mesh-Netzwerk, über das sich eine dauerhafte Verbindung herstellen lasse. "Egal was die Angreifer erreichen möchten, ob Bitcoins minen oder Daten stehlen, letztlich brauchen sie einen Kontrollserver", betonte Classen.

Eine weitere Herausforderung sei, dass der Exploit sehr zuverlässig sein müsse. Denn wenn er Crashes verursache, werde das Problem von Google und Apple erkannt und gefixt - eine wertvolle Sicherheitslücke gehe dann durch einen Patch für die Angreifer verloren. Entsprechend würden Angreifer eher auf bereits bekannte Sicherheitslücken setzen, die jedoch in aktuellen Systemen gepatcht seien und nicht funktionieren würden.

Wahrscheinlicher als ein Wurm seien daher gezielte Angriffe, beispielsweise bei Sicherheitschecks im Flughafen oder auf dem Firmengelände. Insbesondere ein Exploit für aktuelle Android und iOS-Versionen sei eine Menge Arbeit und entsprechend teuer. Angreifer hätten daher meist kein Interesse daran, dass die zugrundeliegende Sicherheitslücke durch einen massenhaften Angriff bekannt werde, sagte Classen.

Wer jedoch Sorge habe, solch einem gezielten Angriff ausgesetzt zu werden, bei dem die Angreifer einen 200.000 US-Dollar teuren Exploit einsetzten, sollte vielleicht lieber gar kein Smartphone verwenden, empfahl Classen. Das gelte auch für Menschen, die die Corona-Warn-App nicht nutzten, weil ihr Smartphone keine Sicherheitsupdates mehr bekomme. Bluetooth sei schließlich nicht das einzige Einfallstor. Auch das Exposure Notification Framework (ENF) von Google und Apple könnte angegriffen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Angriffe auf das Exposure Notification Framework 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. (u. a. WISO Steuer-Software für PC und Mac für je 19,99€)
  2. (u. a. Emtec X150 SSD Power Plus 960 GB für 84,90€ + 6,99€ Versand und Thermaltake V200 TG RGB...
  3. (u. a. Samsung 860 EVO 1 TB für 85€)
  4. (u. a. Samsung 860 EVO 1 TB für 85€)

Prof.Dau 29. Dez 2020

Wer hat ein veraltetes Smartphone? Sehr viele ! Wieviel gehen von denen damit ins...

Denni 28. Dez 2020

da man damit cm genau Abstände bestimmen kann.. Was für die Lagerlogistik perfekt ist...


Folgen Sie uns
       


Canon EOS R5 - Test

Canons spiegellose Vollformatkamera EOS R5 kann Fotos mit 45 Mpx aufnehmen und Videos in 8K - aber Letzteres nur mit Einschränkungen.

Canon EOS R5 - Test Video aufrufen
    •  /