Android-Schwachstelle: Einige Apps konnten Bluetooth-Tracing-Daten auslesen

Der Untersuchung eines IT-Forensikers zufolge hatten einige Apps von Smartphone-Herstellern lesenden Zugriff auf personenbeziehbare Daten in Android-Systemlogs.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Corona-Warn-App

(Bild: lupmotion / Shutterstock.com)

Lesezeit: 4 Min.
Von
  • Holger Bleich
Inhaltsverzeichnis

Eine Schwachstelle in Android hätte einer Analyse von Sicherheitsforschern zufolge dazu führen können, dass Smartphone-Hersteller wie Xiaomi und Samsung personenbeziehbare Daten von Nutzern auslesen. Konkret geht es um den Zugriff auf die eigentlich streng abgeschirmten System-Logdateien von Android.

Der Forensiker Joel Reardon beschreibt im Blog von AppCensus, dass Apps eigentlich bereits seit 2012 keinen lesenden Zugriff mehr auf die Logdateien des Betriebssystems erhalten. Doch es gibt Ausnahmen: Smartphone-Hersteller und Mobilfunkanbieter dürfen auf neuen Handys "privilegierte" System-Apps installieren, die eine "READ_LOGS"-Erlaubnis erhalten. Derlei Apps sammeln beispielsweise bei Crashs Telemetriedaten ein, um sie zum Hersteller zur Produktverbesserung zu schicken.

Dass von dieser Möglichkeit Gebrauch gemacht wird, zeigte AppCensus an zwei Beispielen aus dem Jahr 2020: Eine Untersuchung der Organisation hatte ergeben, dass auf einem fabrikneuen Xiaomi Redmi Note 9 77 privilegierte Apps vorinstalliert waren, von denen 54 Zugriff auf die Systemlogs hatten. Bei einem Samsung Galaxy A11 waren es demnach sogar 131 Apps, von denen 89 "READ_LOGS"-Erlaubnis hatten. Reardon betont, dass es keine Hinweise auf Missbrauch der Privilegien gibt.

Bauchschmerzen bereiten dem Forscher, dass seiner Analyse zufolge auch Daten aus dem Bluetooth-basierten dezentralen Contact-Tracing von Android in den System-Logs landen. Bei der "Google-Apple Exposure Notification" (GAEN) senden und empfangen die Smartphones Bluetooth-Datenpakete ("Beacons"), um anonymisiert Zeitpunkt und Nähe von Smartphone-Nutzern untereinander zu protokollieren. Staatliche Contact-Tracing-Apps wie die deutsche Corona-Warn-App greifen auf dieses System zu, um bei einem späteren positiven Corona-Test rückwirkend anonyme Risikokontakte ermitteln und Warnungen aussprechen zu können.

Die deutsche Corona-Warn-App setzt auf das GAEN von Google und Apple auf.

(Bild: SAP)

Unter Android schreibt das System die "Rolling Proximity Identifiers" (RPIs), also die gesendeten und empfangenen Beacons, in eine Syslog-Datei, wo sie von privilegierten Apps ausgelesen werden könnten, wenn der Nutzer den lesenden Zugriff erlaubt hat (etwa in Form der üblichen Zustimmung zur Übermittlung von Crash-Informationen während der Erstinstallation). Bei den RPIs handelt es sich um zufällig aussehende Ziffernfolgen, die keinen direkten Personenbezug aufweisen. Aber wenn man sie mit anderen Daten aus den Logfiles korreliert, könnte man diesen durchaus herstellen. Und durch Abgleich mit den öffentlich bereitgestellten Listen infizierter Personen ließen sich unter Umständen auch Rückschlüsse auf den Gesundheitszustand des Smartphone-Besitzers ziehen, etwa wenn dieser seine Corona-Infektion gemeldet hat.

Konkret belegt Joel Reardon in seinem umfänglichen Blogbeitrag nicht, dass Daten tatsächlich abfließen, sondern spricht von einer hypothetischen Entität, die diese Daten in großen Stil einsammeln und auswerten könnte. Gegenüber dem Online-Magazin "The Markup" gab er an, seine Ergebnisse am 19. Februar beim Bug-Bounty-Programm von Google eingereicht zu haben. Weil Google die Schwachstelle als nicht schwerwiegend klassifiziert habe, habe er keine Belohnung erhalten, und keine Informationen dazu, ob das Problem gefixt werde.

Gegenüber heise online bestätigte Google-Sprecher Kay Oberbeck, dass der Konzern Kenntnis von der Problematik hat: "Wir wurden auf einen Sachverhalt aufmerksam gemacht, bei dem die Bluetooth-Kennungen vorübergehend für einige vorinstallierte System-Anwendungen zu Debugging-Zwecken zugänglich waren. Unmittelbar nachdem wir auf diesen Umstand aufmerksam gemacht wurden, haben wir mit der entsprechenden Überprüfung begonnen, Abhilfemaßnahmen erwogen und die Aktualisierung des Codes eingeleitet."

Oberbeck betonte, die RPIs gäben "weder den Standort eines Benutzers preis noch liefern sie andere identifizierende Informationen. Auch haben wir keinerlei Hinweis darauf, dass sie in irgendeiner Weise verwendet wurden, und auch nicht darauf, dass irgendeine App sich dessen überhaupt bewusst war". Mittlerweile hat Google nach eigenen Angaben das Problem behoben. Ein Bugfix sei über die Google Mobile Services (GMS) größtenteils ausgespielt, auch zu Smartphones von OEM-Herstellern wie Samsung.

Unklar bleibt, ob Google den privilegierten Zugriff der Apps generell eingeschränkt hat. Das von AppCensus skizzierte Angriffsszenario geht davon aus, dass ein Smartphone-Hersteller Nutzer ganz bewusst ausspioniert. Jürgen Schmidt, Heise Senior Fellow Security, sieht das als Worst-Case-Fall: "Ich bin mir nicht sicher, ob man sich und seine Privatsphäre in einem solchen Kontext überhaupt noch sinnvoll schützen kann. Meine Erfahrung sagt mir, dass man da noch viel größere Probleme hat als geleakte Bluetooth-Beacons, die ja zunächst keinen Personenbezug haben."

(hob)