Viel wurde in den vergangenen Monaten über die Kontaktnachverfolgung via Smartphone-App diskutiert – und das zum Teil auch äußerst "angeregt". Dabei wurden unterschiedliche Modelle ins Spiel gebracht, von Ansätzen, die einer Totalüberwachung aller Smartphone-User gleichgekommen wären, bis zu Konzepten, die zumindest versuchen, Privatsphäre und Freiwilligkeit in den Vordergrund zu stellen. Schlussendlich scheinen sich dabei die Verfechter einer möglichst Privacy-freundlichen Lösung durchgesetzt zu haben. Sicherheitsforscher üben nun aber auch an diesem Ansatz Kritik.

Untersuchung

In einer neuen Studie zeigen Forscher der Technischen Universität Darmstadt (TU), der Universität Marburg und der Universität Würzburg nun zwei theoretische Angriffsszenarien gegen das "Contact Tracing" mittels Bluetooth-Verbindungen auf. Konkret hat man sich dabei auf die gemeinsam von Apple und Google entwickelte Lösung konzentriert, soll diese doch künftig in den allermeisten solcher Apps als technische Grundlage zum Einsatz kommen – darunter auch in den österreichischen und deutschen Apps.

Überwachung

Der erste Punkt dreht sich um das Thema Privatsphäre: Damit das Contact Tracing funktioniert, senden Smartphones, auf denen diese Funktion aktiviert wurde, laufend Bluetooth-Signale mit einem eindeutigen Schlüssel aus. Ein Angreifer könnte nun einfach an öffentlichen Orten entsprechende Empfangsgeräte aufstellen, die all diese Keys einsammelt, und über die Verknüpfung dieser Informationen dann Bewegungsprofile erstellen. So die Idee der Forscher.

Ein Angriffsszenario, das allerdings nicht unbedingt neu ist: Schon in den vergangenen Wochen hatten Experten immer wieder auf solch eine Möglichkeit hingewiesen. Die Forscher zeigen nun in ihren Tests aber, dass dies auch tatsächlich praktikabel ist. Wobei "praktikabel" allerdings ein dehnbarer Begriff ist. Denn um hier eine flächendeckende Überwachung der Bewegungen aller User zu ermöglichen, müssten Angreifer eine Unzahl solcher Geräte im öffentlichen Raum unterbringen. Im großen Stil wäre das also wohl nur für staatliche Behörden möglich, und auch das wohl kaum unbemerkt, was dann zweifellos das Vertrauen in solche Apps weiter beschädigen würde. Die Konsequenz wären massenhafte Deinstallationen, womit der gesamte Angriffspunkt wieder weg wäre – und die Installation dieser Infrastruktur sinnlos.

Alternative Szenarien

Trotzdem bliebe natürlich noch die Möglichkeit, diese Informationen gezielter an einzelnen Orten einzusetzen, um etwa einzelne Nutzer über mehrere Geschäfte einer Kette hinweg zu verfolgen. Genau das haben die Entwickler dieser Schnittstellen aber bedacht: Entsprechend wechselt der ausgesendete Schlüssel alle 24 Stunden, ein Zusammenhang zwischen einem User der am Montag in Geschäft x war und am Dienstag in Geschäft y ist also nicht möglich. Dies wäre erst wieder möglich, wenn man exakte Bewegungsprofile hätte, die man korrelieren könnte – wo wir dann allerdings wieder beim Problem der realen Umsetzbarkeit sind. So zumindest die Argumentation der Entwickler dieser Schnittstellen.

Die Sicherheitsforscher sehen hingegen sehr wohl die Möglichkeit, einzelne Nutzer tagesübergreifend zu identifizieren, etwa in dem man andere Faktoren wie tägliche Gewohnheiten und fixe Transferzeiten in Betracht zieht. Auf diese Weise ließen sich mit dem notwendigen Aufwand zumindest einzelne Nutzer sehr wohl über einen längeren Zeitraum tracken.

Daten fälschen

Auch das zweite von den Sicherheitsforschern besprochene Defizit ist bestens bekannt: Das "Troll-Problem". Es geht also darum, dass jemand bewusst falsche Kontakte erzeugt, um dann in Folge eine Warnung auszuschicken, und so Personen grundlos in die Quarantäne zu schicken. Die Forscher fügen diesem Szenario aber zumindest eine interessante Komponente hinzu: Wie sie zeigen, wäre es nämlich auch möglich solche IDs weiterzuleiten, damit sie an ganz falschen Orten auftauchen – etwas das die Studienautoren eine Wurmlochattacke nennen. In den Tests ist es damit gelungen, einen Kontakt herzustellen, obwohl die beiden Testpersonen 40 Kilometer voneinander entfernt sind.

Die praktische Relevanz dieser Entdeckung ist allerdings zweifelhaft. Immerhin wäre es für jemanden, der einen solchen Trollangriff durchführen will, wohl noch immer einfacher, einem Hund ein Smartphone mit Contact-Tracing-App umzuhängen und diesen durch den Park zu jagen, anstatt den Aufwand mit der Weiterleitung von Bluetooth-IDs zu betreiben. Trotzdem bleibt das Trollproblem fraglos eines der größeren Defizite in den aktuellen Konzepten zum Contact Tracing.

Disclaimer

Angemerkt sei noch, dass dieser Test nicht direkt mit der Google/Apple-Schnittstelle durchgeführt werden konnte, da diese aus Sicherheitsgründen ausschließlich von durch die beiden Unternehmen abgesegneten Apps genutzt werden kann – und hierbei beschränkt man sich auf eine offizielle Lösung pro Land. Also hat man sich auf eine Sample-App bezogen, die den DP-3T-Standard nutzt, der aber ohnehin die Basis für die Apple/Google-Lösung bildet, und in den entscheidenden Punkten deckungsgleich reagieren sollte. (Andreas Proschofsky, 14.06.2020)