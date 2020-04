Halyna Kubiv

Dabei haben sich die Experten einer nicht-intrusiven Analyse des Systems von außen bedient, was bedeutet, die Experten haben sich die Verbindungen der App nach draußen und zu den Servern des Robert-Koch-Instituts (RKI) angeschaut. Neben den Netzwerkverbindungen haben die Forscher auch die Funktionsweise der App selbst untersucht.

Der CCC kritisiert zuerst , dass die App die Gesundheitsdaten nicht mit dem Smartphone synchronisiert, sondern direkt vom Server des jeweiligen Anbieters abgreift und erst auf den Servern des RKI pseudonymisiert. Dies sei vor allem bei Diensten und Anbietern wie Google Fit, Fitbit, Garmin, Polar oder Withings der Fall.

Da die Datenspende-App die Nutzer nach Erlaubnis fragt, auf ihre Gesundheitsdaten zuzugreifen, ist potentiell auch Zugang zu historischen Fitness-Daten möglich, zudem kann die App den vollständigen Namen des Nutzers in Erfahrung bringen. Da die Datenabfrage auf dem Server stattfindet, wird der Zugang der App zu den Fitness-Daten nicht mit der Deinstallation der App beendet, der Nutzer muss aktiv in seinem Google-Fit oder Fitbit-Konto diesen Zugang sperren.

Durch die andere Logik von Apple Health ist dieses Prozedere beim iPhone nicht möglich. Apple speichert die Gesundheitsdaten der Nutzer nicht zentral, sondern entweder direkt auf dem iPhone oder lässt sie verschlüsselt über iCloud archivieren. Es wird daher iPhone-Nutzern empfohlen, zunächst die Fitness-Daten mit Apple Health zu synchronisieren und erst dann über Apple Health diese mit der Datenspende-App zu teilen.

Weiter kritisiert der CCC die zu leichte Erstellung von Pseudonymen: Diese lassen sich demnach viel zu leicht manipulieren.

Zudem bemängeln die Sicherheitsexperten, dass die App bei der Autorisierung beispielsweise mit dem Google-Server über die sogenannte WebView mit der Autorisierungsseite kommuniziert. Diese abgespeckte Version des Webbrowsers ist jedoch deutlich weniger gegen die sogenannten Machine-in-the-Middle-Angriffe geschützt. Zwar ist es möglich, die Datenübertragung aus der App in das WebView-Fenster (worin sich der Nutzer beispielsweise in seinem Google-Fit-Konto anmeldet) mit einem SSL-Zertifikatspinning zu schützen. Dieser Schutz fehlt jedoch.

Ein weiterer Kritikpunkt ist eine relativ große Angriffsoberfläche des Servers des RKI. Dieser bietet nach der Überprüfung viele unnötige Funktionalitäten, die sich zu einem Angriff eignen würden.

Die beiden Versionen der App würden zudem die Autorisierungsdaten unverschlüsselt auf dem Smartphone speichern. Dies bedeutet, dass jeder mit dem Zugang zum Smartphone im entsperrten Zustand auf die Datenübertragung der App zugreifen kann.

Nach Auffassung des CCC ist das Pseudonym in der App unzureichend geschützt, dieses ist zum einen sehr prominent in der App dargestellt, der Code sei auch nicht vor Kopieren geschützt. Wer das Pseudonym kennt, kann auch auf die Fitness-Daten des Nutzers zugreifen oder umgekehrt im Namen dieses Nutzers gefälschte Fitness-Daten auf die Server des RKI hochladen.

Bei der Verbindung mit dem Server des RKI wird ein sogenanntes Wildcard-Zertifikat genutzt. Das bedeutet, diese Sicherheitsdatei ist nicht nur exklusiv für die Datenspende-Server gültig, sondern eröffnet den Zugriff auf andere Server des Anbieters. Im Umkehrschluss bedeutet dies, die App kann nicht erkennen, ob sie die Daten an das RKI sendet oder auf die anderen Server des Betreibers.

Die App setzt auf eine einfache Einwilligung zur Datensammlung durch ein Opt-In-Verfahren. Diese entspricht jedoch nicht den Anforderungen des BSI, demnach soll so ein Verfahren entweder per elektronischer Ausweisfunktion des Personalausweises oder der De-Mail erfolgen.

Gemäß Sven Faßbender ( modzero AG ), hat der CCC nur die gröbsten Mängel in der Sicherheit der Datenspende-App aufgezeigt. Beispielsweise würden bei einer Prüfung gemäß der neuen Technischen Richtlinie des BSI noch weitere Schwachstellen zum Vorschein kommen, Die iPhone-Nutzer können bei der Einrichtung der Datenspende-App zunächst die Fitness-Daten mit Apple Health zu synchronisieren und diese erst dann über Apple Health mit der Datenspende-App zu teilen. Hierbei werden Risiken, welche durch die Verwendung eines Dritt-Anbieters als Datenquelle entstehen vermieden. Fitbit bietet leider keine Synchronisierung mit Apple Health, Google Fit, Polar, Garmin und Withings dagegen schon.

Sven Faßbender hat für die Sicherheitsabschätzung des CCC die iOS-Variante der Datenspende-App analysiert. Er ist Teamleiter und Information Security Analyst bei der Schweizer Sicherheitsfirma modzero AG und tritt als Sprecher auf Fachkonferenzen auf (MacDev von Heise).

Stellungsnahme des Entwicklers der Datenspende-App

Der Chaos Computer Club (CCC) hat sich am Abend des 17. April 2020 an das Robert Koch-Institut (RKI) und an Thryve gewandt, um seine Analyse zur Sicherheit der vom RKI herausgegebenen Corona-Datenspende-App zu teilen. In Folge gab es einen konstruktiven Austausch mit den Autoren der Analyse über mögliche Angriffsszenarien; einige Hinweise und Empfehlungen haben wir unverzüglich umgesetzt.



Hierbei handelte es sich insbesondere um Details, die die Sicherheit im Falle unbefugter Zugriffsversuche noch weiter erhöhen. Die Sicherheit der von den Nutzern übermittelten Daten wurde zu keinem Zeitpunkt beeinträchtigt.



Darüber hinaus werden die Datenschutzhinweise der Corona-Datenspende-App umgehend weiter präzisiert, um mögliche Missverständnisse zu vermeiden.