Forscher sind zu dem Schluss gekommen, dass ein Fehler in der Implementierung des Exposure-Benachrichtigungs-Frameworks für Android-Smartphones durch Google die Privatsphäre der Benutzer gefährden könnte, ohne dass eine Lösung in Sicht ist.

Google und Apple Truhe Datenschutzbenachrichtigungsrahmen für die Kontaktverfolgung nach der Ausbreitung der Covid-19-Pandemie im letzten Jahr.

Dr. Joel Reardon vom Datenschutzunternehmen AppCensus entdeckte, dass die Android-App für Google-Apple Exposure Notification (GAEN) wichtige Informationen in Systemprotokolldateien schreibt.

Das Systemprotokoll kann von Hunderten von Anwendungen von Drittanbietern zusammen mit den bei Datenschutzangriffen verwendeten Informationen, Dr. Reardon, gelesen werden Schrieb.

Durch die Analyse dessen, was GAEN in Android-Protokolldateien schreibt, und die Kombination mit anderen Daten, von denen einige öffentlich verfügbar sind, kann auf eine Gruppe vertraulicher Informationen geschlossen werden, die die Identität der Benutzer vor dem Gesundheitszustand und sogar vor dem Standort verbergen.

Die Forscher sagten, Google befolge nicht seine eigenen Best Practices für Android-Datenschutz und -Sicherheit, die vor Datenschutzverletzungen warnen, die beim Aufzeichnen sensibler Benutzerdaten auftreten.

„Der wichtigste Punkt ist, dass sensible Daten nicht einfach in der Systemregistrierung erfasst werden sollten“, schreibt Dr. Reardon.

„Wenn vertrauliche Daten in der Systemregistrierung gespeichert werden, verliert man die Kontrolle darüber, was damit passiert, da andere Entitäten darauf zugreifen können.“

AppCensus fordert Google nun auf, keine Daten mehr zu schreiben, die die Privatsphäre von Android-Nutzern in den Systemdatensätzen des Geräts gefährden. Das Unternehmen hat das noch ungelöste Problem jedoch noch nicht erkannt.

Dr. Reardon fordert außerdem, dass die Einträge für Expositionshinweise für Protokolldaten entfernt werden, die bereits von Dritten gesammelt wurden.

Dr. Reardon schrieb: „Es ist wichtig, dass jede Entität, die Systemprotokolldaten von Android-Geräten sammelt, alle Einträge bereinigt, die Kontaktverfolgungsdaten enthalten, und dass diese unnötige Aufzeichnung so schnell wie möglich gestoppt wird.“

Australien verwendet GAEN nicht für die CovidSafe-App, um Kontakte zu verfolgen, aber Neuseeland verwendet es über CovidTracer für Android und iOS.

Die AppCensus-Forschung wird von der Direktion für Wissenschaft und Technologie des US-amerikanischen Ministeriums für innere Sicherheit finanziert.