Ein Android-Bug ließ einige Apps fälschlicherweise auf COVID-19-Tracing-Daten zugreifen
Eine Datenschutzlücke in der Android-Version von Apple und der COVID-19-Benachrichtigungs-App von Google ermöglichte es möglicherweise anderen vorinstallierten Apps, sensible Daten zu sehen, auch wenn Benutzer Kontakt mit einer COVID-positiven Person hatten. Google arbeitet derzeit an einem Fix.
Das Datenschutzanalyseunternehmen AppCensus bemerkte den Fehler erstmals im Februar und meldete ihn an Google. Laut The Markup hat Google es damals jedoch versäumt, darauf einzugehen. Der Fehler widerspricht mehreren Versprechungen von Apple-CEO Tim Cook, Google-CEO Sundar Pichai und mehreren Beamten des öffentlichen Gesundheitswesens, dass die von der Expositions-App gesammelten Daten nicht über das Gerät einer Person hinaus weitergegeben werden.
„Der Fix ist eine einzeilige Sache, bei der Sie eine Zeile entfernen, die vertrauliche Informationen im Systemprotokoll protokolliert. es wirkt sich nicht auf das Programm aus, es ändert nichts an seiner Funktionsweise“, sagte Joel Reardon, Mitbegründer und forensischer Leiter von AppCensus, im selben Interview mit The Markup. „Es ist eine so offensichtliche Lösung, und ich war verblüfft darüber es wurde nicht so gesehen.“
Der Artikel enthielt auch ein Zitat von Google-Sprecher José Castañeda, der erklärte: „Wir wurden über ein Problem informiert, bei dem die Bluetooth-Identifikatoren vorübergehend für bestimmte Anwendungen auf Systemebene zu Debugging-Zwecken zugänglich waren, und wir haben sofort mit der Einführung eines Fixes begonnen, um dieses Problem zu beheben.“
Damit das Expositionsbenachrichtigungssystem funktioniert, muss es anonymisierte Bluetooth-Signale von Geräten mit aktiviertem System pingen. Für den Fall, dass einer der Benutzer positiv auf COVID-19 getestet wird, arbeitet es mit den Gesundheitsbehörden zusammen, um eine Warnung an andere Benutzer zu senden, die mit dieser Person in Kontakt gekommen sind, mit entsprechenden Signalen, die im Speicher des Telefons protokolliert sind.
Das Problem ist, dass auf Android-Telefonen Vertragsverfolgungsdaten im privilegierten Systemspeicher protokolliert werden. Während die meisten Apps und Software, die auf diesen Geräten ausgeführt werden, keinen Zugriff darauf haben, haben Apps, die von Herstellern wie Google oder LG oder Verizon vorinstalliert sind, spezielle Systemprivilegien, die es ihnen ermöglichen, möglicherweise auf diese Datenprotokolle zuzugreifen, was sie angreifbar macht.
AppCensus hat jedoch keine Hinweise darauf gefunden, dass vorinstallierte Apps Daten gesammelt haben, ebenso wenig wie das Expositionsmeldesystem auf iPhones. Der Chief Technology Officer des Unternehmens, Serge Egelmen, betonte auf Twitter, dass der Fehler ein Implementierungsproblem und nicht die Schuld des Expositionsmeldesystems sei und dass er das Vertrauen der Öffentlichkeit in öffentliche Gesundheitstechnologien beschädigen sollte.
über The Verge