Corona-Pandemie: Sicherheitslücken in südkoreanischer Quarantäne-App
Die Mobilanwendung, mit der in Südkorea die Quarantänezeit für Einreisende überwacht wird, wies große Schwächen etwa bei der Verschlüsselung auf.
Anweisung und Nutzeroberfläche der südkoreanischen Quarantäne-App.
(Bild: Screenshots)
Wegen der Coronavirus-Pandemie müssen sich in Südkorea alle Besucher und Einheimische, die aus dem Ausland einreisen, seit April zwei Wochen lang in Quarantäne begeben. Die Behörden überwachen diese Selbstisolation mit einer App zur Standortanalyse, die mit Stand Juni 162.000 Nutzer heruntergeladen hatten. Die Mobilanwendung wies bis vorige Woche aber schwere IT-Sicherheitslücken auf, über die Angreifer etwa den Namen, den aktuellen Aufenthaltsort und andere sensible persönliche Details der Anwender einfach hätten herausfinden können.
Manipulierbare virtuelle Zelle
Die Fehler hätten es Hackern prinzipiell auch ermöglicht, die Quarantänebestimmungen komplett zu unterlaufen, berichtet die New York Times. Die Daten konnten demnach so manipuliert werden, als ob der Anwender der App gegen die Vorgaben verstoßen oder sie eingehalten hätte, auch wenn er seine "virtuelle Zelle" verlassen hat.
Die Sicherheitslücken hat laut Bericht der Programmierer Frédéric Rechtenstein entdeckt. Er kehrte im Mai von einer Auslandsreise in sein Haus in Seoul zurück und nutzte die Zeit der Selbstisolation, um der Regierungs-App unter die Haube zu schauen. In der Analyse fand Rechtenstein heraus, dass die Entwickler der Software den Benutzern Identifizierungsnummern zugewiesen hatten, die leicht zu erraten waren. Die Logik, mit der das Programm Login-Kennungen vergibt, war einfach nachzuvollziehen. Damit seien neben der Identität des Betroffenen etwa dessen Geburtsdatum, Geschlecht, Nationalität, Adresse, Telefonnummer, Echtzeit-Standort und medizinische Symptome abrufbar gewesen.
Schlüssel im Quellcode
Rechtenstein entging zudem nicht, dass die Entwickler eine völlig unsichere Methode verwendeten, um den Datenaustausch mit dem Server zu "verschlüsseln". Anstelle des weit verbreiteten Webstandards HTTPS setzten die Programmierer auf eine eigenes proprietäres System, bei dem sie den Hauptschlüssel fest in den Code schrieben. Der Schlüssel war entgegen der Anforderungen auch keineswegs zufällig: Er bestand aus der simplen Ziffernfolge "1234567890123456". Mit dieser insgesamt sehr schwachen Verschlüsselung wäre es möglich gewesen, die gesamte Kommunikation der Anwendung mit dem Server zu überwachen. Dafür hätte es etwa gereicht, sich in dasselbe offene WLAN einzuklinken wie ein Nutzer der App.
"Wir hatten es wirklich eilig, diese Anwendung so schnell wie möglich zu entwickeln und ins Feld zu bringen, um die Ausbreitung des Virus zu verlangsamen", erläuterte Jung Chan-hyun, ein Beamter aus der zuständigen Katastrophenschutzabteilung des südkoreanischen Ministeriums für Inneres und Sicherheit. "Wir konnten uns keine zeitaufwändige Sicherheitsüberprüfung der App leisten." Sonst hätte das Programm nur mit zeitlicher Verzögerung bereitgestellt werden können.
Das Ministerium hat die Fehler dem Bericht zufolge in der neuesten Version der App behoben, die seit voriger Woche in den Stores von Google und Apple verfügbar ist. Regierungsvertreter hätten beteuert, keine Berichte erhalten zu haben, dass persönliche Informationen vor dem Flicken der Schwachstellen unsachgemäß abgerufen oder missbraucht worden seien.
Frühe Gegenmaßnahmen
Südkorea ging schon nach frühen Erkenntnissen über Sars-Cov-2 massiv gegen eine erste Infektionswelle vor. Neben einer hohen Testrate und Quarantäne setzt das Land etwa auf Mobilitätsdaten von Smartphones auf GPS-Basis sowie Kreditkartennutzungen und kombiniert diese Informationen unter anderem mit Aufnahmen aus Überwachungskameras. Bürger erhalten eine Nachricht, wenn sie in Kontakt mit einem positiv Getesteten waren.
Informatiker und Bürgerrechtler bemängeln seit Längerem, dass das Missbrauchs- sowie Überwachungspotenzial von Corona-Apps groß ist, wenn Datenschutzgrundsätze wie Privacy by Design nicht befolgt werden. Anwendungen aus Bahrain, Kuwait und Norwegen fielen laut Amnesty International bereits beim Menschenrechtsschutz durch.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Update: Korrektur im ersten Absatz. Die Selbstisolation dauert zwei Wochen, nicht Monate. (vbr)
