zurück zum Artikel

WM in Katar: Zwangs-Apps mit Sicherheits- und PrivatsphÀren-Risiken Update

Dirk Knop

(Bild: alphaspirit.it / Shutterstock.com)

Auch zum Besuch der Fußball-WM in Katar mĂŒssen Teilnehmer zwei Apps zwangsweise installieren. IT-Sicherheits-Experten warnen vor Sicherheitsproblemen.

Besucher der WM in Katar sollten auf das Mitbringen des privaten Smartphones verzichten, da sie verpflichtend zwei zweifelhafte Apps installieren mĂŒssen. Diesen Apps bescheinigen IT-Sicherheitsexperten nach der Analyse Sicherheitsprobleme sowie zu weitreichendes Eindringen in die PrivatsphĂ€re.

Ähnlich wie schon in China zur Winterolympiade Anfang dieses Jahres [1] mĂŒssen Besucher der Fußball-WM in Katar zwangsweise Apps installieren. In Katar sind das Ehteraz und Hayya. Ehteraz soll Covid-19-Infektionen nachverfolgen, wĂ€hrend Hayya die offizielle WM-App ist, mit der die Tickets und freier Zugang zum öffentlichen Personennahverkehr bereitgestellt werden.

Weitreichende Rechte

Wie der öffentlich-rechtliche Rundfunk Norwegens nrk berichtet [2], fordert etwa die Covid-19-App Ehteraz diverse Rechte auf dem Smartphone an. Dazu zĂ€hlen das Lesen, Löschen oder Ändern sĂ€mtlicher Inhalte auf dem Handy, sowie Zugriff auf WLAN und Bluetooth, Override von anderen Apps sowie zur Hinderung des Smartphones daran, in den Schlafmodus zu wechseln. Jeder Katar-Besucher Ă€lter als 18 Jahre muss Ehteraz installieren, das auf den exakten Standort zugreifen darf, direkt Anrufe starten und die Bildschirmsperre deaktivieren kann.

Seit dem 01. November ist die Installation von Ehteraz zur Einreise ins Land nicht mehr nötig. Sie ist jedoch verpflichtend zu installieren, um Zutritt zu öffentlichen und privaten Gesundheitseinrichtungen wie KrankenhĂ€usern oder Arztpraxen zu erhalten. DarĂŒber informiert das Gesundheitsministerium von Katar auf seiner Webseite [3].

Die Hayya-App verlange nicht so weitreichende Zugriffsrechte, habe dennoch einige kritische Aspekte vorzuweisen. So frage die App unter anderem, persönliche Informationen ohne Begrenzungen zu teilen. Zudem ermöglicht die Hayya-App Zugriff auf den exakten Telefonstandort, hindere das Handy daran, in den Schlafmodus zu wechseln und ermögliche die Anzeige der Netzwerkverbindungen des Smartphones.

Damit sei es den Behörden Katars möglich, auf den kompletten Inhalt der Smartphones zuzugreifen und diese zu Ă€ndern. Fußball-WM-Besucher gĂ€ben ihnen durch die Installation der Apps die Möglichkeiten dazu. Der nrk vergleicht die App mit der ersten norwegischen Corona-Tracking-App, die im Wesentlichen ein PrivatsphĂ€renskandal war und zurĂŒckgezogen werden musste.

Die Tracking-Möglichkeiten erlaubten den Behörden nicht nur, den genauen Standort festzustellen, sondern auch den von Smartphones in der NĂ€he. Dadurch ließen sich Informationen verknĂŒpfen und ableiten, mit wem man sich getroffen und gesprochen habe. Damit unliebsame Personen wie Oppositionelle oder LBGQT+-Personen aufzuspĂŒren, erleichterten die Apps zudem.

Weitere Untersuchungen

Die Sicherheitsfirma Mnemonic habe die Apps ebenfalls analysiert. Insbesondere die verarbeiteten Daten wie GPS-Positionen bergen demzufolge Potenzial fĂŒr Missbrauch. Man mĂŒsse den Entwicklern solcher Apps vertrauen, was im Falle der Behörden Katars jedoch nicht unbedingt das ist, was man tun wolle.

Bei der technischen Analyse habe Mnemonic keine Anzeichen dafĂŒr gefunden, dass die App tatsĂ€chlich lokal gespeicherte Dinge verĂ€ndern könne; die könne jedoch einfach nur noch nicht implementiert sein. Auch Naomi Lintvedt, die im Bereich Rechtswissenschaften an der UniversitĂ€t Oslo forscht, habe die App untersucht. Sie bestĂ€tigte im Wesentlichen die bisherigen Funde.

Der öffentlich-rechtliche Rundfunk hat diesbezĂŒglich auch bei der FIFA angefragt. Diese wollte sich jedoch nicht zu der Angelegenheit Ă€ußern.

Update

Information ergÀnzt, dass die Ehteraz-App seit 01. November verpflichtend nicht zur Einreise ins Land, sondern zum Zutritt in Gesundheitseinrichtungen ist.

Jetzt heise security PRO entdecken Jetzt heise security PRO entdecken [4]

(dmk [5])

URL dieses Artikels:
https://www.heise.de/-7325388

Links in diesem Artikel:
[1] https://www.heise.de/news/MY2022-Privatsphaere-in-Olympia-App-schlecht-geschuetzt-6331578.html
[2] https://www.nrk.no/sport/everyone-going-to-the-world-cup-must-have-this-app---experts-are-now-sounding-the-alarm-1.16139267
[3] https://covid19.moph.gov.qa/EN/travel-and-return-policy/Pages/default.aspx
[4] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[5] mailto:dmk@heise.de

Copyright © 2022 Heise Medien