Covid-19-Pandemie

So testen wir die Sicherheit der Corona-Warn-Apps

Die Sicherheit der untersuchten internationalen Covid-Apps und ihrer Backend-Verbindungen prüfte und bewertete auch diesmal unser bewährter Partner umlaut.

Weil die Covid-Warn-Apps jeweils nur in ihrer Zielregion nutzbar sind und dort in der Regel ohne direkte Konkurrenz angeboten werden, haben wir auf eine redaktionelle Bewertung von Aspekten wie Funktionsumfang und Bedienkomfort verzichtet.

Die Sicherheit der Apps spielt hingegen eine zentrale Rolle – weshalb sie unser Partner umlaut mit seinem bewährten Testverfahren für App-Sicherheit untersucht hat. Dafür überprüfte umlaut wie in der Vergangenheit auch schon für andere App-Kategorien in den Android-Versionen der Corona-Apps vier Bereiche:

Datenschutz, Verbindungssicherheit samt Verschlüsselung, Maßnahmen gegen Integritätsverlust und Rechteausweitung sowie die Sicherheit des App-Quellcodes.

Die untersuchten Angriffsszenarien orientieren sich an den Richtlinien zur sicheren Programmierung von Apps des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Open Web Application Security Project (OWASP).

Viele Tests hat umlaut selbst entwickelt, und alle Ergebnisse wurden zur Kontrolle von zwei Ingenieuren verifiziert. Auch im vorliegenden Fall verzichten wir aus Sicherheitsgründen auf eine detaillierte Beschreibung der entdeckten Schwachstellen, um etwaigen kriminellen Handlungen vorzubeugen.

Bluetooth-Scanner

Wie viele Nutzer der Corona-Warn-App sind eigentlich gerade in meiner Reichweite? Mit diesen Bluetooth-Scannern prüfen Sie die direkte Umgebung.

Insgesamt kann eine App in der Sicherheitsbewertung bis zu 1000 Punkte erzielen.

Schutz persönlicher Daten

Die meisten Punkte – nämlich maximal 332 – vergeben wir dabei für den Datenschutz. Geprüft wurde in dieser Kategorie, ob die Apps personenbezogene Daten wie Login- und Benutzerinformationen ausreichend geschützt im Smartphone-Speicher ablegen.

Ergebnis:

© umlaut

Nicht nur konzeptionell, sondern auch bei der programmiertechnischen Umsetzung hat die deutsche Corona-Warn-App in Sachen Datenschutz die Nase vorn.

Verbindungssicherheit und Verschlüsselung

Die Absicherung des Datenflusses zwischen App und Server trägt maximal 200 Punkte bei. Hier wurde überprüft, ob die App aktuelle Verschlüsselungsmethoden nutzt und ob sie den gesamten Datenverkehr gesichert überträgt. Zudem wurde im Test der korrekte Umgang der App mit SSL-Zertifikaten untersucht.

Ergebnis:

© umlaut

Gemeinsam mit den Apps aus UK, USA und Australien liegt auch bei der Verbindungssicherheit die deutsche App im Spitzenfeld. Kanada und Südafrika fallen etwas zurück.

Integritätsverlust und Rechteausweitung

Die Kategorie Integritätsverlust wird mit maximal 268 Punkten bewertet. Hier prüft umlaut, ob sich Autorisierungsmechanismen der Apps umgehen lassen. Kritisch wäre auch, wenn eine App keinen Schutz gegen Klonung besitzt. Denn dann könnten Angreifer eine exakte Kopie der App erstellen, alle persönlichen Daten entnehmen und sich als Nutzer ausweisen.

Ergebnis:

© umlaut

Beim Integritätsschutz führen die Apps aus Australien und Südafrika. Der Rest des Testfelds inklusive der deutschen Covid-App zeigt leichtes Verbesserungspotenzial.

Absicherung des App-Quellcodes

Der Schutz des Quellcodes schließlich schlägt mit weiteren 200 Punkten zu Buche. Hier kontrollierte umlaut, ob die Komponenten von Drittanbietern sicher implementiert wurden und ob die App wichtige Dateien verschleiert ablegt.

Ergebnis:

© umlaut

Auch wenn es noch minimal Luft nach oben gibt, liegt die deutsche Covid-App beim Schutz des Quellcodes vorn – knapp vor den Apps aus Australien, UK und Südafrika.

Mehr zum Thema

Smartphone-Sicherheit

Mit diesen fünf Passwort-Managern für Android-Smartphones synchronisieren Sie Ihre Kennwörter über verschiedene Geräte hinweg. Sind die Apps sicher?
Service-App-Test 2019

connect hat die Service-Apps einiger Mobilfunk-Discounter auf Funktion, Service und ​Sicherheit getestet. Wer hat dabei am besten abgeschnitten?
Hacker locken mit Fake-Apps

Wer sich mit Apps über das Coronavirus informieren will, sollte aufpassen: Hacker nutzen die Pandemie, um über Fake-Apps Malware einzuschleusen.
Datenschutz und Privatsphäre

Die Corona-Warn-App scheint auf einem guten Weg zu sein. Doch hält sie auch dem kritischen App-Sicherheitstest stand?
Banking-Trojaner

Sicherheitsforscher haben Malware-Apps im Play Store entdeckt. Diese umgehen die Sicherheitsmechanismen von Google und schleusen Banking-Trojaner ein.