News

Stop Corona app reviewed by SBA Research security researchers

German version below

SBA Research experts use reverse engineering to analyze the Android version of the Red Cross Stop Corona app for data security. Technical statement on the analysis.

Media Coverage: Live Ticker (derstandard.at) (Mar 27) diepresse.com (Mar 27) futurezone.at (Mar 27) krone.at (Mar 27) ots.at (Mar 27) derstandard.at (Mar 27) vol.at (Mar 27) help.orf.at (March 30) Interview krone.at (Apr 07) news.orf.at (Apr 09)

The Stop Corona app of the Austrian Red Cross has been raising questions since it went online some days ago. The most critical among them: What personal data does the app pass on? How is the privacy of the users protected?

Security researchers from SBA Research have taken a close look at the app´s four most important features. The good news is that, from a technical point of view, the app is technically compliant with data protection laws.

An analysis in such a short period of time does not replace a complete security analysis and the results given are to be considered preliminary. Furthermore, only the functionality that was available to the user in the analyzed version was examined. Possible planned changes in functionality (e.g. automated digital handshake in case of encounters) are not considered.

Christian Kudera, Manuel Leitner, and Georg Merzdovnik of SBA Research used reverse engineering to analyze the Corona app. They technically proved that the Red Cross focused on privacy protection during the development of the app with its functionalities “Digital Handshake”, “Saved Encounters”, “Report Corona Infection”, and “Notification in case of illness”. Also, microphone and Bluetooth are exclusively used for the detection of other devices with the apps nearby by. Data transmissions are economical and purpose-oriented. In this respect, the app is a role model for most commercially oriented apps in the app stores, which use advertising trackers to distribute all kinds of user data across the globe.

Only the transmission of the handshakes – e.g. the mutual contacts – to the Red Cross seems to be a not necessary data collection from the current point of view. The data could theoretically be correlated and handshake partners could thus be linked if both sides reported an infection. Technically, the handshake was implemented with the program library Google Nearby Messages API. This program uses Bluetooth, WLAN information and the microphone (sounds in the ultrasonic range, which are not audible to humans) to search for other smartphones and enable message exchange. When using the digital handshake for the first time, the app requires permission to use “Nearby”. It then informs the user about the effects of permission by displaying the message “Nearby uses the location, microphone and Bluetooth”. During the analysis of the app, the Red Cross could not find any record of the location.

Nearby does not require an Internet connection for communication between Android devices and does not transmit data to Google. Communication with a (currently not yet available) version of the app for iPhones would require data exchange with Google as “intermediary”.

Update April 16, 2020: In a new review of version 1.0, we found that a digital handshake requires an Internet connection even between two Android devices.

Furthermore, the function “Report Corona Infection” is not entirely harmless, as the mobile number is transmitted to Red Cross servers. In theory, the user ID (UUID) and the mobile number can thus be linked. However, the analysis has shown that mobile numbers are not forwarded to other users of the app. With the “notification in case of illness” only anonymous data is sent or received. Required authorizations and transmitted personal data are openly presented in the data protection information. Although the transfer of personal data has potential for further analysis, it is justified within the framework of the processing described.

“From our point of view, the Android version of the Stopp Corona App adequately fulfils the requirements of data economy and respect for data protection in relation to the objectives of the App. Only the tracking of the handshakes should continue to be monitored critically, as this functionality does not appear to be absolutely necessary for the performance of the app from the current point of view,” said Markus Klemen, CEO of SBA Research.

Read the full technical statement for analysis here:

For further information please contact:

Experten von SBA Research analysieren mittels Reverse Engineering die Android Version der Stopp Corona-App des Roten Kreuzes auf Datensicherheit. Technisches Statement zur Analyse

Media Coverage: Live Ticker (derstandard.at) (Mar 27) diepresse.com (Mar 27) futurezone.at (Mar 27) krone.at (Mar 27) ots.at (Mar 27) derstandard.at (Mar 27) vol.at (Mar 27) help.orf.at (March 30) Interview krone.at (Apr 07) news.orf.at (Apr 09)

Seit wenigen Tagen ist die Stopp Corona-App des Österreichischen Roten Kreuzes online und sorgt für einige Fragen: Welche persönlichen Daten gibt die App weiter? Wie wird die Privatsphäre der Nutzer und Nutzerinnen geschützt?

Sicherheitsforscher von SBA Research haben die vier wichtigsten Funktionen der App unter die Lupe genommen. Die gute Nachricht: Nach derzeitigem Stand ist die App aus technischer Sicht datenschutzrechtlich in Ordnung.

Eine Analyse in so einem kurzen Zeitraum ersetzt keine vollständige Sicherheitsanalyse und die angeführten Resultate sind als vorläufig zu betrachten. Des Weiteren wurde nur die Funktionalität betrachtet, die in der analysierten Version für den Anwender zur Verfügung stand. Auf etwaige geplante Änderungen in der Funktionalität (z.B. automatisierter digitaler Handshake bei Begegnungen) wird nicht eingegangen.

Mittels Reverse Engineering haben Christian Kudera, Manuel Leithner und Georg Merzdovnik von SBA Research die Corona-App analysiert und technisch belegt, dass das Rote Kreuz bei der Entwicklung der App mit ihren Funktionalitäten “Digitaler Handshake”, “Gespeicherte Begegnungen”, “Corona-Infektion melden” und “Benachrichtigung im Krankheitsfall” einen Fokus auf den Schutz der Privatsphäre gelegt hat, auch die Nutzung von Mikrofon und Bluetooth erfolgt ausschließlich zur Erkennung von anderen Geräten mit der App in der Nähe durch „Nearby“. Die Datenübertragungen erfolgen sparsam und zweckgerichtet. In dieser Hinsicht ist die App ein Vorbild für die meisten kommerzorientierten Apps in den Appstores, die mit Werbetrackern alle möglichen Daten der Benutzer und Benutzerinnen quer über den Globus verteilen.

Einzig das Übermitteln der Handshakes – also der gegenseitigen Kontaktaufnahmen – ans Rote Kreuz erscheint aus momentaner Sicht eine nicht unbedingt notwendige Datensammlung, da die Daten theoretisch korreliert und so Handshake-Partner miteinander verknüpft werden könnten wenn beide Seiten eine Infektion melden. Technisch wurde der Handshake mit der Programmbibliothek Google Nearby Messages API umgesetzt, welche mittels Bluetooth, WLAN Informationen und dem Mikrofon (Töne im Ultraschallbereich, welche für den Menschen nicht hörbar sind) nach anderen Smartphones sucht und Nachrichtenaustausch ermöglicht. Bei der ersten Verwendung des digitalen Handshakes benötigt die App die Freigabe zur Verwendung von “Nearby” und informiert den Benutzer mittels der Meldung “Nearby verwendet den Standort, das Mikrofon und Bluetooth” über die Auswirkungen der Berechtigung. Im Rahmen der Analyse der App konnte keine Aufzeichnung des Standorts durch das Rote Kreuz festgestellt werden.

Nearby benötigt für die Kommunikation zwischen Android-Geräten keine Internetverbindung und überträgt dabei keine Daten an Google. Für die Kommunikation mit einer (aktuell noch nicht verfügbaren) Version der App für iPhones wäre ein Datenaustausch mit Google als “Vermittler” notwendig.

Update 16. April 2020: Bei einer erneuten Überprüfung der Version 1.0 haben wir festgestellt, dass ein digitaler Handshake auch zwischen zwei Android-Geräten eine Internetverbindung erfordert.

Des Weiteren ist die Funktion “Corona-Infektion melden” nicht ganz unbedenklich, da die Mobilnummer an Server des Roten Kreuzes übermittelt wird; theoretisch können die Benutzerkennung (UUID) und die Mobilnummer verknüpft werden. Die Analyse hat allerdings gezeigt, dass Mobilnummern nicht an andere Nutzer und Nutzerinnen der App weitergeleitet werden. Bei der “Benachrichtigung im Krankheitsfall” werden nur anonyme Daten versendet bzw. empfangen. Benötigte Berechtigungen und übermittelte personenbezogene Daten werden offen in den Datenschutzinformation dargelegt. Die Übertragung der personenbezogenen Daten hat zwar Potential für weitergehende Analysen, ist aber im Rahmen der beschriebenen Verarbeitung gerechtfertigt.

„Aus unserer Sicht erfüllt die Android Version der Stopp Corona App die Erfordernisse der Datensparsamkeit und der Achtung des Datenschutzes angemessen in Bezug auf die Zielsetzung der App. Einzig das Tracking der Handshakes sollte weiter kritisch beobachtet werden, da diese Funktionalität zur Erbringung der Leistung der App aus gegenwärtiger Sicht nicht unbedingt notwendig erscheint.“, so Markus Klemen, Geschäftsführer von SBA Research.

Lesen Sie hier das umfassende technische Statement zur Analyse:

Rückfragehinweise: