https://www.faz.net/-gzg-a0cra

Bluetooth-Daten manipulierbar : Forscher entdecken Sicherheitslücke bei Corona-Apps

  • -Aktualisiert am

Sicherheitslücke: Forscher haben eine Schwachstelle in der Corona-Tracing-App entdeckt (Symbolbild). Bild: dpa

Wissenschaftler aus Rhein-Main haben eine Schwachstelle im Sicherheitssystem der Corona-Tracing-Apps gefunden. Durch die Lücke lassen sich sensible persönliche Daten einsehen und verändern.

          2 Min.

          Ist die Technologie, die hinter Corona-Tracing-Apps steckt, wie sie auch von der Bundesregierung in Auftrag gegeben worden sind, womöglich doch nicht so sicher wie gedacht? Wissenschaftler der Technischen Universität Darmstadt (TU), der Universität Marburg und der Universität Würzburg haben anhand praktischer Versuche herausgefunden, dass bislang nur theoretisch bekannte Risiken tatsächlich mit gängigen technischen Mitteln ausgenutzt werden können. Demnach könne ein Angreifer detaillierte Bewegungsprofile von Infizierten erstellen und unter Umständen die Betroffenen identifizieren. Zum anderen könnten die Kontaktinformationen manipuliert werden, was die Genauigkeit und Zuverlässigkeit des Kontaktnachverfolgungssystems beeinträchtigen könne.

          Das Problem liege im sogenannten Google-Apple-Protokoll (GAP), einer Schnittstelle zum Betriebssystem. Sie diene, laienhaft ausgedrückt, dazu, dass App und Betriebssystem miteinander Daten austauschen. Das Protokoll ist im Betriebssystem der jeweiligen Handys installiert, wie Bernd Freisleben, Professor für Mathematik und Informatik an der Philipps-Universität Marburg, erläutert. Als Ausgangspunkt für die Forschungen der IT-Sicherheitsexperten dienten Berichte über mögliche Datenschutz- und Sicherheitsrisiken von GAP. Freisleben und seinen Kollegen ist es aber gelungen, diese theoretischen Risiken innerhalb von zwei Wochen in der Praxis nachzuweisen.

          Bluetooth-Daten manipulierbar

          Dazu nutzten die Wissenschaftler einen Code, der jenem, der in den Betriebssystemen von Apple und Google verwendet wird, sehr ähnlich ist. Heraus kam: GAP ist offenbar anfällig für die Erstellung von Bewegungsprofilen. Außerdem seien sogenannte Relay- oder Wurmloch-Angriffe möglich, wodurch Angreifer falsche Kontaktinformationen herstellen könnten. Dadurch könnten unter anderem die Daten Infizierter dupliziert werden. Angreifer könnten die sogenannten Bluetooth-Benutzer-IDs, die von einer Kontaktnachverfolgungs-App erzeugt werden, sammeln und zu Orten umleiten, obwohl sich die Person, die hinter den Daten steckt, dort nie aufgehalten hat. Den Forschern gelang es, Bluetooth-IDs zwischen zwei 40 Kilometer voneinander entfernten Städten zu übertragen.

          Außerdem war es ihnen möglich, in einem bestimmten Gebiet die Bewegungen einzelner Personen detailliert zu rekonstruieren. Zwar brauche es dazu technische Hilfsmittel, sagte Freisleben. Aber man müsse auch sagen, dass es Telekommunikationsunternehmen oder anderen Konzernen, die über entsprechende Daten verfügten, jetzt schon möglich sei, Bewegungsprofile zu erstellen.

          Das Experiment der Forscher zeige, dass Nachbesserungsbedarf bestehe, was Sicherheit und Datenschutz der Protokolle betreffe. Zudem sehen es die Forscher aus Darmstadt, Marburg und Würzburg kritisch, dass die deutsche App nur mit Hilfe der von den beiden amerikanischen Konzernen gelieferten Betriebssysteme funktioniere. Die Gefahr, dass die Unternehmen dadurch Zugriff auf medizinische relevante Daten der hiesigen Nutzer erhalten könnten, sei nicht auszuschließen.

          Weitere Themen

          Der neue alte Goetheturm Video-Seite öffnen

          Er steht wieder : Der neue alte Goetheturm

          Nach einem Brandanschlag im Jahr 2017 wurde der Goetheturm in Frankfurt nun wieder errichtet. Der neue Turm soll diesmal robuster sein und somit auch Feuer standhalten können.

          Topmeldungen

          Am Tag der Präsidentschaftswahlen bewacht ein Soldat der Sonderpolizei einen Kontrollpunkt an einer Straße am Stadtrand von Minsk.

          Wahl in Belarus : Der Dauerherrscher greift durch

          Bei der Präsidentenwahl in Belarus soll Amtsinhaber Lukaschenka offiziellen Prognosen zufolge 80 Prozent der Stimmen erhalten haben. Inoffizielle Nachwahlbefragungen hat das Regime verboten. Am Abend nach der Wahl geht das Regime mit Härte gegen Demonstranten vor.

          Trump eskaliert gegen China : Umgang mit Schurken

          Der Umgang des amerikanischen Präsidenten mit der chinesischen Videoplattform Tiktok verärgert Peking schwer. Er muss aber auch alte Freunde verunsichern: Was hindert Trump eigentlich daran, Daimler oder VW die Geschäftstätigkeit in den Vereinigten Staaten zu untersagen?
          Einschulungsfeier in Frankfurt an der Oder

          Schulbeginn : Wie geht es in den Klassenzimmern weiter?

          In vier Bundesländern beginnt in dieser Woche das neue Schuljahr. Es gibt genaue Anweisungen, sogar Verhaltenspsychologen wurden bemüht. Kein Land schließt aus, dass es bei steigenden Infektionszahlen auch für den Unterricht die Maskenpflicht verhängt.
          Anders als die anderen? Es führt oft nicht nur der eine Weg ans Ziel.

          Einsteig in fremde Branchen : Quer ins Glück

          Beratung, Vertrieb, Schule oder Pflege: Für Quereinsteiger gibt es Möglichkeiten zuhauf. Sie sollten sich aber keine falschen Hoffnungen machen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.