Die Corona-App der Bundesregierung wurde in Googles Play Store bereits über zehn Millionen Mal heruntergeladen. Bei der Einführung versicherte die Regierung, dass Nutzerdaten vertraulich behandelt und grundsätzlich geschützt seien. Wie Sicherheitsforscher von AppCensus nun herausgefunden haben, ist dem allerdings nicht so. Denn die deutsche Anwendung nutzt zur Kontaktnachverfolgung die von Google (Android) und Apple (iOS) bereitgestellte Schnittstelle. Und diese scheint unter Android alles andere als sicher zu sein.
Vorinstallierte Apps haben Zugriff auf Kontaktinformationen
Laut den Forschungsdaten und einem Bericht des Online-Portals The Markup können hunderte auf dem Android-Smartphone vorinstallierte Anwendungen auf die Daten von Corona-Tracing-Apps zugreifen. Hierzulande betrifft das insbesondere die offizielle Corona-App. Die Problematik soll dabei grundsätzlich wie folgt aussehen: Log-Dateien, die Informationen zu Kontakten mit Corona-Infizierten und Gerätedaten wie MAC-Adressen und Werbe-IDs beinhalten, speichert die Software direkt auf dem Smartphone ab. Anschließend lassen sie sich mit speziellen Rechten auslesen; und genau über diese Rechte sollen hunderte vorinstallierte Anwendungen wie beispielsweise der Samsung-Browser und Motorolas MotoCare verfügen.
Das sei laut den Sicherheitsforschern ein Nebenprodukt davon, wie vorinstallierte Apps Informationen über Nutzeranalysen und Absturzberichte erhalten. Allerdings lässt sich der Zugang in der Theorie auch dazu nutzen, um die Log-Daten von Tracing-Apps, also auch der Corona-App, zu erfassen. Sie könnten dann an die Server der eigenen Unternehmen gesendet werden. Insgesamt sollen über 400 Drittanbieter-Anwendungen von unter anderem Samsung, Motorola und Huawei dazu in der Lage sein.
Kein Vertrauen in den Datenschutz der Corona-App
Die aktuelle Enthüllung der Sicherheitslücke überschneiden sich zeitlich mit einer Umfrage der privaten Hochschule Hertie School und des Marktforschungsunternehmens Respondi, die Zeit Online vorab vorlag. Laut der Untersuchung haben die Deutschen kein großes Vertrauen in den Datenschutz der offiziellen Corona-Warn-App. Auf einer fünfstufigen Skala von „Stimme überhaupt nicht zu“ bis „Stimme voll und ganz zu“ sollen Befragte die Aussage „Ich sorge mich um den Datenschutz der App“ mit 2,7 für die Corona-App und mit 2,6 für die Luca-App bewertet haben. An der Studie nahmen 2.099 Menschen im Alter zwischen 14 und 74 Jahren teil.
Google bereits im Februar informiert
Nach Angaben der Sicherheitsforscher deutet aktuell nichts darauf hin, dass Dritte die Sicherheitslücke tatsächlich ausnutzten. Allerdings haben Drittanbieter nach wie vor Zugriff auf die protokollierten Kontaktdaten. Denn obwohl die Forscher Google nach eigenen Angaben bereits im Februar auf das potenzielle Datenleck hingewiesen haben, hat Google es monatelang nicht geschlossen. Erst nachdem die Kollegen von The Markup Google vergangene Woche um eine offizielle Stellungnahme gebeten hatten, soll sich Google der Problematik angenommen haben. Gegenüber The Markup verkündete ein Google-Sprecher allerdings, dass die Schwachstelle bereits beseitigt worden sei. Ein entsprechendes Update werde seit einigen Wochen ausgerollt. Apple-Nutzer mit Corona-App müssen sich derweil keine Sorgen machen. Denn die Sicherheitsforscher konnten keine Anzeichen für eine entsprechende Lücke auf iPhones finden.