Corona-Warn-Apps haben Defizite bei Sicherheit und Datenschutz

 

Darmstadt (12. Juni 2020) — Ein Forschungsteam der Technischen Universität Darmstadt, der Universität Marburg und der Universität Würzburg hat jüngst in Publikationen als theoretisch möglich beschriebene Datenschutz- und Sicherheitsrisiken der Spezifikation des von Google und Apple vorgeschlagenen Ansatzes für Corona-Apps unter realistischen Bedingungen praktisch demonstriert und bestätigt. Auf diesem Ansatz basiert unter anderem die von der Deutschen Telekom und SAP im Auftrag der Bundesregierung entwickelte deutsche Corona-Warn-App; aber auch die schweizerischen und italienischen Kontaktnachverfolgungs-Apps nutzen diese Plattform.

Durch Experimente in realen Szenarien zeigte das Forschungsteam, dass bereits theoretisch bekannte Risiken mit gängigen technischen Mitteln ausgenutzt werden können. So kann zum einen ein externer Angreifer detaillierte Bewegungsprofile von mit COVID-19 infizierten Personen erstellen und unter bestimmten Umständen die betroffenen Personen identifizieren. Zum anderen ist ein Angreifer in der Lage, die gesammelten Kontaktinformationen durch sogenannte Relay-Angriffe zu manipulieren, was die Genauigkeit und Zuverlässigkeit des gesamten Kontaktnachverfolgungssystems beeinträchtigen kann.

Kontaktnachverfolgungs-Apps auf mobilen Geräten versprechen die Möglichkeit, den manuellen Aufwand zur Identifizierung von Infektionskreisläufen erheblich zu reduzieren und die Abdeckung der Kontaktnachverfolgung zu erhöhen. Einer der bekanntesten Vorschläge zur Kontaktnachverfolgung stammt aus der Zusammenarbeit der Konzerne Google und Apple. Es ist zu erwarten, dass die beiden US-amerikanischen Firmen diese neue Standardfunktionalität in ihre jeweiligen mobilen Betriebssysteme, Android und iOS, integrieren werden. Einige Länder, darunter auch Deutschland, haben in ihren nationalen Projekten zur digitalen Ermittlung von Kontaktpersonen bereits diesen Ansatz gewählt.

Ausgangspunkt für die Experimente der IT-Sicherheitsexperten und -expertinnen der drei Universitäten waren zuvor veröffentlichte Berichte über mögliche Datenschutz- und Sicherheitsrisiken im Zusammenhang mit den Entwicklungen des sogenannten „Google Apple Protokoll“ (GAP). Das Forschungsteam testete, ob die konzeptionell beschriebenen Angriffe in der Praxis ausgeführt werden können. Die Experimente zeigen, dass GAP einerseits anfällig ist für die Erstellung von Profilen und so möglicherweise die De-Anonymisierung von infizierten Personen erlaubt. Andererseits sind in GAP auch so genannte Relay- oder Wurmloch-Angriffe möglich, wodurch Angreifer falsche Kontaktinformationen generieren können und somit die Genauigkeit und Korrektheit des Gesamtsystems leidet.

Das Forschungsteam realisierte die Angriffe mithilfe handelsüblicher preiswerter Werkzeuge wie Bluetooth-Sniffer (als App auf Smartphones oder Raspberry Pis), die auch in mobilen Umgebungen eingesetzt werden können. Da die Implementierung des GAP-Ansatzes noch nicht für die breitere Wissenschafts-Community verfügbar ist, hat das Forschungsteam die Angriffe basierend auf bereits publizierten Spezifikationen konstruiert. Die Ergebnisse zeigen, dass bei Verwendung strategisch platzierter Sensoren auf Smartphones in einem bestimmten Gebiet die Bewegungen infizierter Personen, simuliert durch Testpersonen, detailliert rekonstruiert werden können. Dadurch war es möglich, sensible Aufenthaltsorte der Testpersonen sowie mögliche soziale Beziehungen zwischen ihnen zu identifizieren.

Die Anfälligkeit von GAP für sogenannte Relay- oder Wurmloch-Attacken offenbart ebenfalls Schwächen. Diese Methode versetzt einen Angreifer in die Lage, die sogenannten Bluetooth-Benutzer-IDs, die von einer Kontaktnachverfolgungs-App erzeugt werden, zu sammeln und unbemerkt an weiter entfernte Orte weiterzuleiten. Unter anderem konnten erfolgreich Bluetooth-IDs zwischen zwei 40 Kilometer voneinander entfernten Städten übertragen werden. Dadurch kann ein Angreifer das Kontaktnachverfolgungssystem als Ganzes beeinträchtigen, indem er Informationen über die Anwesenheit von Infizierten an vielen Orten fälschlicherweise dupliziert, was zu einer erheblichen Zunahme von Fehlalarmen über das potenzielle Infektionsrisiko führen könnte.
Insgesamt sieht das Forschungsteam noch deutliches Verbesserungspotenzial für den von Google und Apple vorgeschlagenen Ansatz für Corona-Apps.


Über die TU Darmstadt


Die TU Darmstadt zählt zu den führenden Technischen Universitäten in Deutschland. Sie verbindet vielfältige Wissenschaftskulturen zu einem charakteristischen Profil. Ingenieur- und Naturwissenschaften bilden den Schwerpunkt und kooperieren eng mit prägnanten Geistes- und Sozialwissenschaften. Weltweit stehen wir für herausragende Forschung in unseren hoch relevanten und fokussierten Profilbereichen: Cybersecurity, Internet und Digitalisierung, Kernphysik, Energiesysteme, Strömungsdynamik und Wärme- und Stofftransport, Neue Materialien für Produktinnovationen. Wir entwickeln unser Portfolio in Forschung und Lehre, Innovation und Transfer dynamisch, um der Gesellschaft kontinuierlich wichtige Zukunftschancen zu eröffnen. Daran arbeiten unsere 308 Professorinnen und Professoren, 4.500 wissenschaftlichen und administrativ-technischen Mitarbeiterinnen und Mitarbeiter sowie 25.200 Studierenden. Mit der Goethe-Universität Frankfurt und der Johannes Gutenberg-Universität Mainz bildet die TU Darmstadt die strategische Allianz der Rhein-Main-Universitäten.

 


Quelle: Technische Universität Darmstadt, 12.06.2020 (tB).

Schlagwörter:

MEDICAL NEWS

Perinatal patients, nurses explain how hospital pandemic policies failed them
Johns Hopkins Medicine expert creates comprehensive guide to new diabetes…
An amyloid link between Parkinson’s disease and melanoma
Ultrasensitive, rapid diagnostic detects Ebola earlier than gold standard test
Paranoia therapy app SlowMo helps people ‘slow down’ and manage…

SCHMERZ PAINCARE

Jedes vierte Kind wünscht bessere Schmerzbehandlung
Lebensqualität von Patienten in der dauerhaften Schmerztherapie mit Opioiden verbessern
Wenn Schmerzen nach einer OP chronisch werden
Deutscher Schmerz- und Palliativtag 2021 – ONLINE: Schmerzmediziner, Politiker und…
Deutscher Schmerz- und Palliativtag 2021 – ONLINE: COVID-19-Pandemie belastet Schmerzpatienten…

DIABETES

„Wissen was bei Diabetes zählt: Gesünder unter 7 PLUS“ meldet…
Kinder und Jugendliche mit Typ-1-Diabetes gehören nicht zur Risikogruppe und…
Neue Studie will Entstehung von Typ-1-Diabetes bei Kindern verhindern
Toujeo®: Ein Beitrag zu mehr Sicherheit für Menschen mit Typ-1-Diabetes
Diabeloops Ziel: Baldige Marktpräsenz mit ​individuellen Lösungen zum Diabetes-Management für​ verschiedene…

ERNÄHRUNG

DGEM plädiert für Screening und frühzeitige Aufbautherapie: Stationäre COVID-19-Patienten oft…
Führt eine vegane Ernährungsweise zu einer geringeren Knochengesundheit?
Regelmässiger Koffeinkonsum verändert Hirnstrukturen
Corona-Erkrankung: Fehl- und Mangelernährung sind unterschätze Risikofaktoren
Gesundheitliche Auswirkungen des Salzkonsums bleiben unklar: Weder der Nutzen noch…

ONKOLOGIE

Leberkrebs: Bei welchen Patienten wirkt die Immuntherapie?
Konferenzbericht vom virtuellen Münchener Fachpresse-Workshop Supportive Therapie in der Onkologie
Wie neuartige Erreger die Entstehung von Darmkrebs verursachen können
Onkologische Pflegekräfte entwickeln Hörspiel für Kinder: Abenteuer mit Alfons
Krebsüberleben hängt von der Adresse ab

MULTIPLE SKLEROSE

Multiple Sklerose: Salzkonsum reguliert Autoimmunerkrankung
Erste tierexperimentelle Daten zur mRNA-Impfung gegen Multiple Sklerose
Multiple Sklerose: Immuntherapie erhöht nicht das Risiko für schweren COVID-19-Verlauf
Empfehlung zur Corona-Impfung bei Multipler Sklerose (MS)
Fallstudie: Beeinflusst SARS-CoV-2 Infektion die Multiple Sklerose?

PARKINSON

Parkinson-Agenda 2030: Die kommenden 10 Jahre sind für die therapeutische…
Gemeinsam gegen Parkinson: bessere Therapie durch multidisziplinäre Versorgung
Neuer Bewegungsratgeber unterstützt Menschen mit M. Parkinson durch Yoga
Covid-19-Prävention: besondere Vorsicht bei Patienten mit der Parkinson-Krankheit
Neue Studie zur tiefen Hirnstimulation bei Parkinson-Erkrankung als Meilenstein der…