Der Schutz unserer persönlichen Daten wird mit jedem voranschreitenden Jahr immer wichtiger. Hörten wir vor einem Jahrzehnt noch eher selten von Cyberangriffen, so leben wir inzwischen in einem Zeitalter, in dem fast täglich unbefugt Datensätze von A nach B wandern. Erst diese Woche wurden über 500.000 Datensätze des Roten Kreuz erbeutet [1], da es sich um besonders sensible Daten handelt, ist das Leck eine Katastrophe.
Neben den obligatorischen Informationen, die jeden Tag über uns erfragt werden, geben wir auch gerne Daten über unsere mobilen Endgeräte preis. Meist wissen wir dabei nicht einmal, was alles über uns gesammelt wird oder wo es gar hingeschickt wird, Labels zur Privatsphäre, wie jene von Apple, vermitteln uns dabei zusätzlich eine falsche Sicherheit [2].
Dass es bei der Kommunikation zwischen der App auf dem Endgerät und dem Server des Betreibers zu schwerwiegenden Sicherheitslücken kommen kann, beweist jüngst ein Beispiel aus China. Denn Besucher der Olympischen Spiele in Peking müssen sich eine vom Pekinger Komitee designte App herunterladen und diese während der Spiele auf ihren Geräten belassen. Das Problem: Die App sammelt und sendet so einige Daten.
Das Ziel der Datenübertragung wird bei der chinesischen Begleitapp nicht geprüft
Das ist an sich nichts Besonderes, im Kontext der chinesischen App kommt es aber zu einem fatalen Fehler in der Validierung von SSL-Zertifikaten. Diese Zertifikate werden normalerweise zwischen Server und Endgerät ausgetauscht, der Server weist sich so gegenüber der App aus. Auf diesem Weg kann ein Versand von Daten an den falschen Empfänger nahezu ausgeschlossen werden.
Problematisch wird es, wenn man wie im Beispiel der MY2022-App überhaupt nicht prüft, wohin die Daten gesendet werden, dann können sich nämlich einfach Dritte in die Kommunikation einschalten und Daten problemlos mitlesen. Forscher:innen fanden diese Lücke in der Version 2.0.0 für iOS und 2.0.1 für Android. Damit dürfte der Entwickler sogar gegen lokale Gesetze verstoßen, das chinesische Gegenstück zur DSGVO lässt einen so nachlässigen Umgang mit Daten eigentlich nicht zu.
Somit können teils sensible Informationen, die innerhalb der App gesammelt werden, abgeleitet und weiterverkauft werden. Neben dem Gesundheitsstatus des Besuchers sind das etwa Reiseinformationen oder Gerätedaten. Eine Absicht, um der chinesischen Regierung das Datensammeln zu erleichtern, kann eigentlich ausgeschlossen werden. Schließlich steht bereits in der Datenschutzerklärung, dass Informationen auch gerne mal an den Staat weitergegeben werden.
Via Gizmodo
