Covid-19: Ist Contact Tracing mit Bluetooth eine gute Idee?

rC3

Normalerweise stellt Jiska Classen neue Bluetooth-Lücken vor. Auf dem rC3 erklärte sie hingegen, warum Bluetooth für Corona-Apps sinnvoll ist.

Ein Bericht von veröffentlicht am
Contact Tracing in Aktion
Contact Tracing in Aktion (Bild: Markus Winkler/Pixabay)

Normalerweise findet die Sicherheitsforscherin Jiska Classen Sicherheitslücken in Bluetooth, beispielsweise wie es möglich ist, per WLAN Bluetooth auszuknipsen. Auf dem Hackerkongress rC3 erklärte sie jedoch, warum Bluetooth dennoch das beste Protokoll für ein Contact Tracing ist.

Inhalt:
  1. Covid-19: Ist Contact Tracing mit Bluetooth eine gute Idee?
  2. Angriffe auf das Exposure Notification Framework
  3. Auch GPS, Mobilfunk oder WLAN könnten Contact Tracing

Aber brauchen wir überhaupt eine Corona-Warn-App? Natürlich könne eine Contact-Tracing-App allein die Pandemie nicht aufhalten. Sie könne aber dabei helfen, gezielter zu testen, erklärte Classen. Als Beispiel nannte sie Personen ohne Symptome, die bisher kaum getestet würden, da es an Tests mangele. Letztlich rette jede verhinderte Infektion Leben.

Es sei also sehr wichtig, dass es eine Corona-App gebe, sagte Classen. Doch ist Bluetooth wirklich ein gutes Protokoll dafür? Ist Bluetooth nicht notorisch unsicher? In erster Linie sei Bluetooth ein Protokoll, das Daten per Funk übertrage und einige Risiken mit sich bringe - wie alles andere auch, betonte Classen.

Die meisten Sicherheitslücken setzten bestimmte Software- oder Chip-Versionen voraus, beispielsweise die Sicherheitslücke Bluefrag (CVE-2020-0022), die im November 2019 gemeldet und im Februar 2020 gefixt wurde. Betroffen waren damals nur Android 9 und älter, nicht jedoch Android 10. Das besondere an dieser und ähnlichen Lücken sei, dass sie von einem Computerwurm ausgenutzt werden könne - eine Schadsoftware, die sich selbstständig, ohne Interaktion weiterverbreitet.

Ein Bluetooth-Wurm ist möglich, aber unwahrscheinlich

Stellenmarkt
  1. Senior Global Digital Product Manager (m/w/d)
    GEBR. BRASSELER GmbH & Co. KG, Lemgo
  2. Head of IT/IT-Leiter (m/w/d)
    Sanner GmbH, Bensheim
Detailsuche

Ein derartiger Wurm sei jedoch unwahrscheinlich, da sich die Geräte über Bluetooth zwar angreifen, nicht jedoch kontrollieren lassen, erklärte Classen. Bluetooth sei eben kein Mesh-Netzwerk, über das sich eine dauerhafte Verbindung herstellen lasse. "Egal was die Angreifer erreichen möchten, ob Bitcoins minen oder Daten stehlen, letztlich brauchen sie einen Kontrollserver", betonte Classen.

Eine weitere Herausforderung sei, dass der Exploit sehr zuverlässig sein müsse. Denn wenn er Crashes verursache, werde das Problem von Google und Apple erkannt und gefixt - eine wertvolle Sicherheitslücke gehe dann durch einen Patch für die Angreifer verloren. Entsprechend würden Angreifer eher auf bereits bekannte Sicherheitslücken setzen, die jedoch in aktuellen Systemen gepatcht seien und nicht funktionieren würden.

Wahrscheinlicher als ein Wurm seien daher gezielte Angriffe, beispielsweise bei Sicherheitschecks im Flughafen oder auf dem Firmengelände. Insbesondere ein Exploit für aktuelle Android und iOS-Versionen sei eine Menge Arbeit und entsprechend teuer. Angreifer hätten daher meist kein Interesse daran, dass die zugrundeliegende Sicherheitslücke durch einen massenhaften Angriff bekannt werde, sagte Classen.

Wer jedoch Sorge habe, solch einem gezielten Angriff ausgesetzt zu werden, bei dem die Angreifer einen 200.000 US-Dollar teuren Exploit einsetzten, sollte vielleicht lieber gar kein Smartphone verwenden, empfahl Classen. Das gelte auch für Menschen, die die Corona-Warn-App nicht nutzten, weil ihr Smartphone keine Sicherheitsupdates mehr bekomme. Bluetooth sei schließlich nicht das einzige Einfallstor. Auch das Exposure Notification Framework (ENF) von Google und Apple könnte angegriffen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Angriffe auf das Exposure Notification Framework 
  1. 1
  2. 2
  3. 3
  4.  


Aktuell auf der Startseite von Golem.de
Burnout in der IT
"Es ging einfach nichts mehr"

Geht es um die psychische Gesundheit ihrer Mitarbeiter, appellieren Firmen oft an deren Eigenverantwortung. Doch vor allem in der Pandemie reicht das nicht.
Von Pauline Schinkel

Burnout in der IT: Es ging einfach nichts mehr
Artikel
  1. Analoge Kamera: Bastler baut unkomplizierte digitale Filmpatrone
    Analoge Kamera
    Bastler baut unkomplizierte digitale Filmpatrone

    Für seine alte Kamera hat der Bastler Befinitiv einen Filmersatz aus einem Raspberry Pi Zero W und der Pi Camera gebaut - das einfache Design hat aber einen Haken.

  2. Cell Broadcast: Seehofer sieht keine Widerstände mehr gegen Warnung per SMS
    Cell Broadcast
    Seehofer sieht keine Widerstände mehr gegen Warnung per SMS

    Innerhalb der Bundesregierung gab es wohl Widerstände gegen die Einführung von Cell Broadcast. Laut Seehofer sind diese nun überwunden.

  3. Kryptowährung: Bitcoin kratzt an der 40.000-Dollar-Grenze
    Kryptowährung
    Bitcoin kratzt an der 40.000-Dollar-Grenze

    Nachdem der Bitcoin lange bei einem Kurs um die 32.000 US-Dollar verharrte, geht es seit dem Wochenende bergauf. Grund könnte Amazon sein.

Prof.Dau 29. Dez 2020

Wer hat ein veraltetes Smartphone? Sehr viele ! Wieviel gehen von denen damit ins...

Denni 28. Dez 2020

da man damit cm genau Abstände bestimmen kann.. Was für die Lagerlogistik perfekt ist...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Bosch Professional Amazon-Exklusives günstiger • Samsung G7 27" QLED Curved WQHD 240Hz 459€ • Kingston Fury 32GB Kit 3200MHz 149,90€ • 3 für 2 & Sony-TV-Aktion bei MM • New World vorbestellbar ab 39,99€ • Alternate (u. a. Deepcool RGB LED-Streifen 10,99€) • Apple Days [Werbung]
    •  /