Eine schwere Sicherheitslücke wurde von App-Census in der Kontaktverfolgungsschnittstelle von Google und Apple entdeckt. Brisant an der Gesichte ist, dass dadurch sensible Protokolldaten für andere Apps lesbar waren.
Die API zur Kontaktverfolgung wurde von den App-Census Forensikern aufgrund eines Auftrags des US-Ministeriums für Innere Sicherheit entdeckt. Google hatte diese mit Apple Mitte 2020 als Basis für die Großzahl der weltweit existierenden Corona Apps entwickelt.
Problem auf Android begrenzt
Die Forensiker fanden den Fehler jedoch nur auf der Android Plattform. Die Apple Plattform ist nicht betroffen. Ersten Angaben nach löst diese schwere Sicherheitslücke ein flüchtiger Fehler im Programmcode der Schnittstelle aus. Dieser führte dazu, dass nicht nur Systemereignisse, sondern auch sensible Kontaktdaten ins Protokoll geschrieben wurden.
Das Protokoll stand Hunderten Apps zum Auslesen offen, zumindest theoretisch. Die Forensiker äußerten sich dzau in einem Blogbeitrag ausführlich. Bereits im Februar 2021 wurde Google über den Fehler informiert. Eine Reaktion von Google blieb indes aus. Ein Patch ist erstmal nicht erschienen. Aufgrund der erneuten Adressierung durch The Markup kam Schwung in die Angelegenheit und Google nahm sich dem Thema an. Eine Korrektur sei auf dem weg.
0 Comments