Avatar von Armato
  • Armato

mehr als 1000 Beiträge seit 09.08.2019

Corona-Warn-App

Das Android-API (Schnittstelle) für die Corona-Warn-App ist bereits verfügbar und wird über die Google-Dienste (automatisch) installiert.
siehe:
Einstellungen, Google,
"Benachrichtigungen zu möglichem Kontakt mit COVID-19-Infizierten"

da steht aber im zweiten Absatz im Infotext:

Damit Bluetooth-Geräte in deiner Nähe gefunden werden können, muss die Standortermittlung für dein Gerät aktiviert sein.

Standortermittlung = GPS
Damit kann man auch Bewegungsprofile erstellen und außerdem wird dadurch deutlich mehr Akkuleistung als nötig verbraucht.
Urpsrünglich war nur die Rede von Bluetooth, aber nicht von GPS.

Vor allem in Verbindung mit der stündlichen Datenabfrage kann man Bewegungsprofile erstellen, denn der Server mit den Daten der Identifizierten IDs wird von der Telekom betrieben und die Telekom kann als Mobilfunkbetreiber die Standorte der abfragenden (synchronisierenden) Smartphones über deren IP-Adressen und die Funkmasten sehen, also sogar unabhängig von der GPS-Funktion.

Android ist zwar quelloffen, man kann also den Code des Betriebssystems im Klartext lesen, aber diese Google-Dienste sind davon ausgenommen. Man weiß also nicht im Detail, was da passiert.
.
.
Der Quelltext der Corona-Warn-App wurde am 30.Mai 2020 veröffentlicht:
https://github.com/corona-warn-app

Da gibt es aber noch Fehler, wie etwa eine fest eingebaute TAN-Nummer (123456)
Datei: KeySubmissionRequest.kt

headers["cwa-authorization"] = "TAN 123456"

TAN sollte eigentlich einmalig und nur dem User bekannt sein.
Mit der TAN 123456 kommt man aber aktuell um diese lästige Sicherheitseinrichtung herum.
Ist vermutlich nur ein Versehen oder nur zu Testzwecken.
Bis gestern stand dieser Bug, den das BSI gefunden hatte, noch in der Liste drin:
https://github.com/corona-warn-app/cwa-app-android/issues
Heute ist er verschwunden (hoffentlich gefixt).
Aber alleine schon die Tatsache, das man feste TAN-Nummern in den Quelltext eingebaut hatte zeugt von der "Qualität" des Programmes.
Das erinnert an Cisco-Router, wo auch ein Masterpasswort fest verdrahtet eingebaut war.
.
.
Ein weiterer Fehler ist es, dass die Kontaktschlüssel auch auf externen Speicherkarten gespeichert werden können, also außerhalb der geschützten Sandbox der APP und dann auch von anderen Apps diese Kontaktschlüssel gelesen werden können.
https://github.com/corona-warn-app/cwa-app-android/issues/6
https://github.com/corona-warn-app/cwa-app-android/issues/1
.
.
Noch ein Fehler sind die aktivierten App-Snapshots.
Dadurch wird automatisch wenn das Smartphopne in den Stromsparmodus geht oder die App in den Hintergund geschickt wird ein Screenshot der App gemacht und in einem nicht gesicherten Bereich gespeichert, wo dann andere Apps drauf zugreifen können, also auch den Infiziertenstatus abfragen können.
https://github.com/corona-warn-app/cwa-app-android/issues/9
.
.
Zugriff auf die Kamera braucht diese App auch (für QR-Codes oder vielleicht später auch mehr).
Datei: CameraPermissionHelper.kt

object CameraPermissionHelper {
fun hasCameraPermission(context

Das Posting wurde vom Benutzer editiert (01.06.2020 09:05).

Bewerten
- +