In der Kontaktverfolgungs-App, die der NHS derzeit testet, um die Ausbreitung von Covid-19 zu stoppen, wurden mehrere schwerwiegende Sicherheitslücken entdeckt. Ein Team erfahrener Sicherheitsforscher hat verschiedene Probleme entdeckt, die die Privatsphäre der Benutzer beeinträchtigen und sogar die App selbst sabotieren können. Die App wird derzeit vor ihrer möglichen landesweiten Einführung auf der Isle of Wight getestet und wurde von der britischen Regierung als Schlüsselwaffe zur Eindämmung der Epidemie angepriesen.
NHS-Coronavirus-App
Das Team hinter dem Bericht bestand aus dem unabhängigen Forscher und Redner Dr. Chris Culnane und Vanessa Teague, CEO von Thinking Cybersecurity. Zu den „verschiedenen“ Problemen, die das Paar entdeckte, gehörten mehrere Schwachstellen im Registrierungsprozess, die es Angreifern ermöglichen könnten, Verschlüsselungsschlüssel zu stehlen. Dies könnte es Eindringlingen ermöglichen, zu verhindern, dass Benutzer benachrichtigt werden, wenn einer ihrer Kontakte positiv auf Covid-19 getestet wurde, oder sie könnten sogar gefälschte Warnungen versenden. Es wurde auch festgestellt, dass die App unverschlüsselte Daten auf Telefonen speichert, die von der Polizei verwendet werden können, um festzustellen, wann sich zwei oder mehr Personen treffen. Das Team stellte außerdem fest, dass die App einmal täglich einen neuen zufälligen ID-Code für Benutzer generierte, im Gegensatz zu einer von Apple und Google entwickelten Konkurrenz-App, die für zusätzliche Sicherheit alle 15 Minuten einen neuen Code generierte. Die Apple- und Google-App scheint auf Android- und iOS-Geräten zu funktionieren, die Bluetooth-Signale mit geringem Stromverbrauch verwenden, um eine Karte der Personen zu erstellen, mit denen ein Benutzer Kontakt hatte. Teague und Culnane empfehlen dem NHS, von dem derzeit verwendeten „zentralisierten“ Ansatz, bei dem Daten geteilt und die Kontaktverfolgung auf einem zentralen Serversystem erfolgt, zu einem „dezentralen“ Ansatz überzugehen, bei dem der Abgleich zwischen Benutzergeräten erfolgt. „In den dezentralen oder zentralisierten Modellen kann es immer Fehler und Sicherheitslücken geben“, sagte Teague. „Aber der große Unterschied besteht darin, dass eine dezentrale Lösung keinen zentralen Server mit den letzten persönlichen Kontakten jeder infizierten Person hätte.“ „Daher ist das Risiko, dass diese Datenbank durchsickert oder missbraucht wird, viel geringer.“
Aufmerksam
Das Team sagte, es habe seine Ergebnisse dem National Cyber Security Centre (NCSC) mitgeteilt, das wiederum der BBC mitteilte, dass es sich der meisten der aufgeworfenen Probleme bereits bewusst sei und dabei sei, sie zu lösen. „Man hatte immer gehofft, dass Maßnahmen wie die Veröffentlichung des Codes und die Erläuterung der Entscheidungen hinter der App konstruktive Diskussionen mit der Sicherheits- und Datenschutz-Community anstoßen würden“, sagte ein NCSC-Sprecher in einer Erklärung. . „Wir freuen uns darauf, weiterhin mit Sicherheits- und Kryptografieforschern zusammenzuarbeiten, um die App so gut wie möglich zu machen.“ „Diese App war nie von Grund auf perfekt, aber es ist erfrischend zu hören, dass die Regierung auf unabhängige Untersuchungen hört und Vorschläge für zukünftige Überarbeitungen akzeptiert“, sagte Jake Moore, ESET-Cybersicherheitsspezialist. „Wie bei vielen Apps ist die erste Version selten nützlich, aber sie ist auf den Telefonen der Benutzer verfügbar, wo sie problemlos neue Versionen bereitstellen können.“ Sobald die App für die Mehrheit der Menschen verfügbar ist, werden Ihre Absichten eindeutig eine bessere Wirkung erzielen. Das größte Problem ist jedoch das offensichtliche Fehlen einer Gesetzgebung zum Schutz dieser Daten. Für die Nutzer ist es wichtig, nicht zu wissen, ob und wie die Daten für die Zukunft verwendet werden könnten oder ob sie sogar entfernt werden. Über BBC