Stopp Corona-App von Sicherheitsforschern überprüft

Experten von SBA Research testen mittels Reverse Engineering die Android Version der Stopp Corona-App des Roten Kreuzes auf Datensicherheit

Aus unserer Sicht erfüllt die Android Version der Stopp Corona App die Erfordernisse der Datensparsamkeit und der Achtung des Datenschutzes angemessen in Bezug auf die Zielsetzung der App. Einzig das Tracking der Handshakes sollte weiter kritisch beobachtet werden, da diese Funktionalität zur Erbringung der Leistung der App aus gegenwärtiger Sicht nicht unbedingt notwendig erscheint.
Markus Klemen, Geschäftsführer von SBA Research

Wien (OTS) - Seit wenigen Tagen ist die Stopp Corona-App des Österreichischen Roten Kreuzes online und sorgt für einige Fragen: Welche persönlichen Daten gibt die App weiter? Wie wird die Privatsphäre der Nutzer und Nutzerinnen geschützt? Sicherheitsforscher von SBA Research haben die vier wichtigsten Funktionen der App unter die Lupe genommen. Die gute Nachricht: Nach derzeitigem Stand ist die App aus technischer Sicht datenschutzrechtlich in Ordnung.

Mittels Reverse Engineering haben Christian Kudera, Manuel Leitner und Georg Merzdovnik von SBA Research die Corona-App analysiert und technisch belegt, dass das Rote Kreuz bei der Entwicklung der App mit ihren Funktionalitäten "Digitaler Handshake", "Gespeicherte Begegnungen", "Corona-Infektion melden" und "Benachrichtigung im Krankheitsfall" einen Fokus auf den Schutz der Privatsphäre gelegt hat, auch die Nutzung von Mikrofon und Bluetooth erfolgt ausschließlich zur Erkennung von anderen Geräten mit der Apps in der Nähe durch „Nearby“. Die Datenübertragungen erfolgen sparsam und zweckgerichtet. In dieser Hinsicht ist die App ein Vorbild für die meisten kommerzorientierten Apps in den Appstores, die mit Werbetrackern alle möglichen Daten der Benutzer und Benutzerinnen quer über den Globus verteilen.

Einzig das Übermitteln der Handshakes – also der gegenseitigen Kontaktaufnahmen – ans Rote Kreuz erscheint aus momentaner Sicht eine nicht unbedingt notwendige Datensammlung, da die Daten theoretisch korreliert und so Handshake-Partner miteinander verknüpft werden könnten wenn beide Seiten eine Infektion melden. Technisch wurde der Handshake mit der Programmbibliothek Google Nearby Messages API umgesetzt, welche mittels Bluetooth, WLAN Informationen und dem Mikrofon (Töne im Ultraschallbereich, welche für den Menschen nicht hörbar sind) nach anderen Smartphones sucht und Nachrichtenaustausch ermöglicht. Bei der ersten Verwendung des digitalen Handshakes benötigt die App die Freigabe zur Verwendung von "Nearby" und informiert den Benutzer mittels der Meldung "Nearby verwendet den Standort, das Mikrofon und Bluetooth" über die Auswirkungen der Berechtigung. Im Rahmen der Analyse der App konnte keine Aufzeichnung des Standorts durch das Rote Kreuz festgestellt werden. Nearby benötigt für die Kommunikation zwischen Android-Geräten keine Internetverbindung und überträgt dabei keine Daten an Google. Für die Kommunikation mit einer (aktuell noch nicht verfügbaren) Version der App für iPhones wäre ein Datenaustausch mit Google als "Vermittler" notwendig.

Des Weiteren ist die Funktion "Corona-Infektion melden" nicht ganz unbedenklich, da die Mobilnummer an Server des Roten Kreuzes übermittelt wird; theoretisch können die Benutzerkennung (UUID) und die Mobilnummer verknüpft werden. Die Analyse hat allerdings gezeigt, dass Mobilnummern nicht an andere Nutzer und Nutzerinnen der App weitergeleitet werden. Bei der "Benachrichtigung im Krankheitsfall" werden nur anonyme Daten versendet bzw. empfangen. Benötigte Berechtigungen und übermittelte personenbezogene Daten werden offen in den Datenschutzinformation dargelegt. Die Übertragung der personenbezogenen Daten hat zwar Potential für weitergehende Analysen, ist aber im Rahmen der beschriebenen Verarbeitung gerechtfertigt.

„Aus unserer Sicht erfüllt die Android Version der Stopp Corona App die Erfordernisse der Datensparsamkeit und der Achtung des Datenschutzes angemessen in Bezug auf die Zielsetzung der App. Einzig das Tracking der Handshakes sollte weiter kritisch beobachtet werden, da diese Funktionalität zur Erbringung der Leistung der App aus gegenwärtiger Sicht nicht unbedingt notwendig erscheint.“, so Markus Klemen, Geschäftsführer von SBA Research.

Technisches Statement zur Analyse
Jetzt nachlesen

Rückfragen & Kontakt:

Mag. Markus Klemen
Geschäftsführer, SBA Research
E-Mail: mklemen@sba-research.org
Mobil: 0664 41 11 588

Christian Kudera, MSc
Sicherheitsexperte, SBA Research
E-Mail: ckudera@sba-research.org
Mobil: 0664 46 25 333

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS | SBA0001