Google und Apple haben vor knapp einem Jahr eiligst eine Infrastruktur geschaffen, um das Contact Tracing per Smartphone zu ermöglichen und haben die entsprechende Funktionalität in die Betriebssysteme Android und iOS integriert. Auf technischer Seite hat das von Beginn an nahezu problemlos funktioniert, doch nun wurde eine Sicherheitslücke bekannt, die Google zu Beginn wohl gar nicht beheben wollte: Vorinstallierte Apps konnten die gesammelten Daten auslesen.
Viele Länder haben aufbauend auf den APIs von Apple und Google eigene Contact Tracing-Lösungen entwickelt, in Deutschland ist es die bekannte Corona-Warn-App. Trotz der eiligen Entwicklung hat das sehr gut funktioniert, doch nun wurde eine Sicherheitslücke bekannt, die eines der Grundversprechen widerlegt: Den Datenschutz. Wie Sicherheitsforscher herausgefunden haben, lassen sich die unter Android protokollierten Kontaktdaten von vorinstallierten Apps abrufen – und zwar ohne große Umwege und auf direktem Wege.
Die Daten liegen zwar relativ tief im Betriebssystem und sind nur mit speziellen Rechten abrufbar, aber viele vorinstallierte Apps besitzen genau diese Rechte. Google wurde bereits im Februar über das Problem informiert, hat es aber weder mit dem März- noch mit dem April-Sicherheitsupdate behoben. Dabei ließe es sich, laut Aussagen der Entdecker, mit nur wenigen Zeilen Code beheben. Nun soll der Fix ausgerollt werden, vermutlich in der kommenden Woche mit dem Mai-Sicherheitsupdate. Fraglich, warum das so lange gedauert hat.
Die Gefahr, dass eine App die Daten ausliest und verwendet, war natürlich überschaubar. Denn grundsätzlich sollten auf den Smartphones vorinstallierte Apps mehr oder weniger vertrauenswürdig sein und nicht von den „bösen Buben“ verteilt worden sein. Dementsprechend sind keine Fälle bekannt, in denen diese Sicherheitslücke ausgenutzt worden sein soll.