Experten von SBA Research testen mittels Reverse Engineering die Android-Version der „Stopp Corona“-App des Roten Kreuzes auf Datensicherheit und stellen ihr ein gutes Zeugnis aus. Viel mehr noch – sie sollte Vorbild für die meisten kommerziellen Apps sein.
Die Experten des Security-Spezialisten SBA Research kommen zu dem technisch belegen Schluss, dass das Rote Kreuz bei der Entwicklung der App mit ihren Funktionalitäten "Digitaler Handshake", "Gespeicherte Begegnungen", "Corona-Infektion melden" und "Benachrichtigung im Krankheitsfall" einen Fokus auf den Schutz der Privatsphäre gelegt hat, auch die Nutzung von Mikrofon und Bluetooth erfolgt ausschließlich zur Erkennung von anderen Geräten mit der Apps in der Nähe durch „Nearby“. Die Datenübertragungen erfolgen sparsam und zweckgerichtet. In dieser Hinsicht ist die App ein Vorbild für die meisten kommerzorientierten Apps in den App-Stores, die mit Werbetrackern alle möglichen Daten der Benutzer absaugen.
Einzig das Übermitteln der Handshakes – also der gegenseitigen Kontaktaufnahmen – ans Rote Kreuz erscheint aus momentaner Sicht eine nicht unbedingt notwendige Datensammlung, da die Daten theoretisch korreliert und so Handshake-Partner miteinander verknüpft werden könnten, wenn beide Seiten eine Infektion melden. Technisch wurde der Handshake mit der Programmbibliothek Google Nearby Messages API umgesetzt, welche mittels Bluetooth, WLAN-Informationen und dem Mikrofon (Töne im Ultraschallbereich, welche für den Menschen nicht hörbar sind) nach anderen Smartphones sucht und Nachrichtenaustausch ermöglicht. Bei der ersten Verwendung des digitalen Handshakes benötigt die App die Freigabe zur Verwendung von "Nearby" und informiert den Benutzer mittels der Meldung "Nearby verwendet den Standort, das Mikrofon und Bluetooth" über die Auswirkungen der Berechtigung. Im Rahmen der Analyse der App konnte keine Aufzeichnung des Standorts durch das Rote Kreuz festgestellt werden. Nearby benötigt für die Kommunikation zwischen Android-Geräten keine Internetverbindung und überträgt dabei keine Daten an Google. Für die Kommunikation mit einer (aktuell noch nicht verfügbaren) Version der App für iPhones wäre ein Datenaustausch mit Google als "Vermittler" notwendig.
Des Weiteren ist die Funktion "Corona-Infektion melden" nicht ganz unbedenklich, da die Mobilnummer an Server des Roten Kreuzes übermittelt wird; theoretisch können die Benutzerkennung (UUID) und die Mobilnummer verknüpft werden. Die Analyse hat allerdings gezeigt, dass Mobilnummern nicht an andere Nutzer der App weitergeleitet werden. Bei der "Benachrichtigung im Krankheitsfall" werden nur anonyme Daten versendet bzw. empfangen. Benötigte Berechtigungen und übermittelte personenbezogene Daten werden offen in den Datenschutzinformation dargelegt. Die Übertragung der personenbezogenen Daten hat zwar Potential für weitergehende Analysen, ist aber im Rahmen der beschriebenen Verarbeitung gerechtfertigt.
„Aus unserer Sicht erfüllt die Android Version der Stopp Corona App die Erfordernisse der Datensparsamkeit und der Achtung des Datenschutzes angemessen in Bezug auf die Zielsetzung der App. Einzig das Tracking der Handshakes sollte weiter kritisch beobachtet werden, da diese Funktionalität zur Erbringung der Leistung der App aus gegenwärtiger Sicht nicht unbedingt notwendig erscheint.“, so Markus Klemen, Geschäftsführer von SBA Research.
Hier gibt es die App: https://participate.roteskreuz.at/stopp-corona/
