Support: +49 (0)209 38642-22        Supportfall melden

Kontaktverfolgung unter Android

Die Corona-Warn-App verwendet das Exposure Notification Framework (ENF) von Google und Apple, das die beiden Unternehmen in iOS und Android für die Kontaktverfolgung implementiert haben. Um den Datenschutz zu gewährleisten, kann eigentlich keine andere Anwendung auf die gesendeten und empfangenen IDs zur Kontaktprüfung zugreifen.

Auf Android-Systemen hält Google sie jedoch in einer Protokoll-Datei fest, auf die Systemanwendungen zugreifen können, zum Beispiel vorinstallierte Anwendungen der Smartphone-Hersteller Samsung oder Xiaomi. Das Exposure Notification Framework (ENF) generiert kontinuierlich neue IDs, die sogenannten Rolling Proximity Identifiers (RPI), und sendet sie innerhalb eines bestimmten Zeitraums über Bluetooth an Geräte in der Nähe, während sie ebenfalls deren RPI empfängt. Auf diese Weise wird eine derartige Kommunikation zwischen den Geräten als Kontakt der Besitzer registriert. Im Falle einer Infektion einer dieser Personen schlägt das System Alarm und informiert die auf diesem Weg ermittelten Kontakt-Personen über eine potenzielle Ansteckung. So sollen Infektionsketten frühzeitig erkannt und unterbrochen werden.

Neben den generierten und empfangenen IDs wird in der Log-Datei aber auch die Mac-Adresse des Bluetooth-Moduls festgehalten. Da es sich bei Mac-Adressen um nicht änderbare und den entsprechenden Geräten fest zugewiesene IDs handelt, hat Google den Zugriff auf Protokoll-Dateien beschränkt, sodass nur vorinstallierte System-Apps sie auslesen können. Heruntergeladenen Apps auf dem Play Store wird der Zugriff auf die Log-Dateien verweigert.

Der Sicherheitsforscher Joel Reardon, der auf das bedenkliche Verhalten des ENF unter Android in einem Blog-Beitrag hingewiesen hat, verweist darin allerdings auf eine Studie aus dem Jahr 2020. In Zuge dieser Studie wurde unter anderem festgestellt, dass zum Beispiel das Xiaomi Redmi9 77 vorinstallierten Apps den Zugriff auf Log-Dateien gestattet, beim Samsung Galaxy A11 sind es sogar 89 Systemanwendungen. Diese beiden Unternehmen werden nur stellvertretend genannt. Die Praxis, Systemanwendungen vorzuinstallieren und diese mit besonderen Rechten auszustatten ist in der Smartphone-Branche üblich.

Laut Reardon ist es durch die Kombination von mehreren Protokollen von verschiedenen Geräten möglich, die gesammelten Informationen den Besitzern zuzuordnen und Kontakte zwischen Ihnen zu ermitteln, was ausschließlich den Corona-Warn-Apps vorbehalten sein dürfte. Der Sicherheitsforscher hat den Fehler zunächst Google gemeldet, nach einer Wartezeit von 60 Tagen dann aber veröffentlicht. Letzte Woche reagierte das Unternehmen und kündigte einen Patch für das Exposure Notification Framework an.