Fragen? Antworten! Siehe auch: Alternativlos
Die TÜVit hat mal geguckt und fand dabei eine Schwachstelle in der TAN-Generierung. Damit hätte man das Backend angreifen und möglicherweise überlasten können. Ist ein valider Fund. Allerdings kein sonderlich beunruhigender. Schlimm wäre gewesen, wenn man über die App das Smartphone kompromittieren könnte, oder wenn man Daten deanonymisieren könnte, oder Benutzerprofile erstellen könnte. Dass die diese Lücke melden und keine der anderen, das ist ein gutes Zeichen für die App.
Die zweite gerade kursierende Meldung über die App in der FAZ, die sich damit ihr Loch noch ein bisschen tiefer gräbt. Überschrift: "Forscher entdecken Sicherheitslücke bei Corona-App". Klingt komisch. "bei" der App. Die meinen bestimmt "in" der App. Nein, meinen sie nicht. Das ist bloß die übliche Schlagzeilen-Irreführung, damit ihr denkt, sie hätten über eine Lücke in der App berichtet, wenn ihr nur Schlagzeile und Anreißer lest. Hier ist der Anreißer:
Durch die Lücke lassen sich sensible persönliche Daten einsehen und verändern.Das wäre ein Totalschaden.
Was steht denn im Fließtext?
Das Problem liege im sogenannten Google-Apple-Protokoll (GAP), einer Schnittstelle zum Betriebssystem.Ja, äh, das ist dann ja wohl keine Sicherheitslücke in der App.
Dazu nutzten die Wissenschaftler einen Code, der jenem, der in den Betriebssystemen von Apple und Google verwendet wird, sehr ähnlich ist.Und sie haben das Problem nicht mal am tatsächlichen Code nachweisen können sondern in einer Simulation eines Nachbaus.
Angreifer könnten die sogenannten Bluetooth-Benutzer-IDs, die von einer Kontaktnachverfolgungs-App erzeugt werden, sammeln und zu Orten umleiten, obwohl sich die Person, die hinter den Daten steckt, dort nie aufgehalten hat.*gähn*
Aber wartet, geht noch weiter!
Außerdem war es ihnen möglich, in einem bestimmten Gebiet die Bewegungen einzelner Personen detailliert zu rekonstruieren. Zwar brauche es dazu technische Hilfsmittel, sagte Freisleben. Aber man müsse auch sagen, dass es Telekommunikationsunternehmen oder anderen Konzernen, die über entsprechende Daten verfügten, jetzt schon möglich sei, Bewegungsprofile zu erstellen.Mit anderen Worten: Sie haben gar nichts.
Halt, halt, noch nicht weggehen, es gibt noch ein Sahnehäubchen:
Die Gefahr, dass die Unternehmen dadurch Zugriff auf medizinische relevante Daten der hiesigen Nutzer erhalten könnten, sei nicht auszuschließen.Bingo! Mehr Bestätigung der Vorwürfe von Rezo geht gar nicht. Irreführendes Verschwörungs-Geraune statt recherchierten Fakten.
Update: Das heißt nicht, dass die App gut ist. Ich habe die nicht angeguckt. Die öffentlich kommunizierten Designziele der App waren gut.
Update: Hier ist die Pressemitteilung der TU Darmstadt zu der FAZ-Meldung, und da steht:
Forschungskonsortium belegt Risiken in Google- und Apple-Spezifikation für Corona-Apps
Eine ganz andere Aussage! Das Paper dazu findet ihr auf arxiv.org.