CoronaChroniken: CVE für die Corona API von iOS und Android

Liebe Maskierte,

die meisten Leser, die wegen Corona hier sind, werden CVE-Nummern nicht kennen. Diese werden in der IT vergeben, wenn eine Sicherheitslücke gefunden wurde. Zu der Nummer gehört dann auch eine Risikoeinschätzung. Für die Corona-Melde-Api in iOS und Android wurde so eine Nummer beantragt, vergeben und bewertet.

CoronaChroniken: CVE für die Corona API von iOS und Android

Letzte Nacht erreichte uns auf der Full-Disclosure Mailingliste eine entsprechende Meldung von Dirk-Wilhelm van Gulik:

CVE-2020-24721: (Corona) Exposure Notifications API for Apple iOS and Google Android risk of coercion/data leakage post notification  / CVSS v3.1 score: 5.9

Die Schwachstellen wurden als „Mangel zum Schutz gegen Zwang“ und ein Informationsleck beschrieben, kurz zusammen gefasst: Selbst wenn die App gelöscht wird, wird in dem Teil des Betriebssystems in dem die ganze Technik für das Senden und Empfangen der Bluetooth untergebracht ist, der letzte Zustand gespeichert, weil die Anwendung darauf keinen Zugriff hat. Das bedeutet, ist die App einmal drauf und hat aktiv Daten gesendet oder empfangen, kann man das letzte Ergebnis nicht mehr vom Handy löschen. Damit kann ich nicht verhindern, daß jemand z.b. meine Aussendung „Ich bin ein Coronainfizierter“ aus dem (beschlagnahmten) Handy auslesen kann. Gleiches gilt für den Umstand, das man einen Hinweis eingeblendet bekommen hat, daß man einem Infizierten begegnet ist. Das widerspricht natürlich dem Gedanken, daß man seinem Handy trauen kann.

Bei Android und iOS gibt es implementierungsabhängige Abweichungen, aber im Prinzip leiden beide unter dem gleichen Problem. Eine Lösung, außer niemals die Apps zu benutzen, gibt es leider für Euch nicht, denn nur Google und Apple können das Problem lösen.

An die 16 Millionen die es schon installiert haben: Ihr seid gewarnt worden! Selbst Schuld.

Verursacht wird dies, weil das Handy immer die gleichen Identifikationsmerkmale erzeugt, die müssen ja schliesslich eindeutig sein, und dies natürlich auch dann tut, wenn jemand anders die App wieder installiert. Die Datensammlung scheint ~30 Tage lang zu laufen, also erst nach dieser Zeit kann man sicher sein, daß zumindest keine „Sie sind einem Coronainfizierten begegnet“ Meldungen mehr kommen. Das andere Problem ist nicht lösbar, außer die Daten werden im internen Speicher des OS gelöscht. Da hilft dann nur der Factory-Reset.

Nun ist das bereits im Januar bekannt geworden, weil es ein Systemimmanentes Problem ist (sieht Zeitstrahl unten). Warum die Apps trotzdem gemacht wurden und Google und Apple nichts dagegen getan haben, überlasse ich mal Eurer Fantasie, sofern Ihr welche habt. Auch wenn die Hinweise aus Holland kommen, die in den Handies verbauten Frameworks sind immer die gleichen, also gilt das auch für unsere deutsche App.

Glücklicherweise, wurde die App ist ja laut Amtsärzten derzeit als zweckfrei angesehen, also löscht die jetzt einfach und hofft darauf, daß Ihr in den nächsten 30 Tagen nicht von jemandem gezwungen werdet, sie erneut zu installieren.

Für Interessierte:

Variations of this flaw have been documented by the DP3T team in their academic paper. It was found it the Apple/Google implementations during the build of the dutch ‚Corona Melder‘ app (https://github.com/minvws).

2020-01-18 first known description of this class of issues
2020-04-03 first paper by DP3T team published.
2020-05-06 confirmation of this issue with Google
2020-05-07 confirmation of this issue with Apple
2020-08-13 final written/formal questions sent on request (#115 and 115.bis) as a vulnerability report.
2020-08-13 confirmation vendor. 2020-08-27 CVE issues by MITRE
2020-09-13 Request vendor to provide CVE/start FD.
2020-09-15 Versions under embargo sent to google/apple. Confirmation of receipt and reference # for both received.
2020-09-15 Full disclosure timeline setting process started.
2020-09-22 Reminder to google/apple & request to submit their preferred timeline/disclosure approach.
2020-09-25 Deadline to provide timeline preferences and feedback passed.
2020-09-29 Vendor informed that public disclosure is imminent.