News

Evaluation of the Stopp Corona app of the Austrian Res Cross – “Immediate improvements through expert report”

German version below

Experts from epicenter.works, noyb.eu and SBA Research evaluated the Stopp Corona app of the Austrian Red Cross (ÖRK) with regards to data security and privacy. No critical security gaps were found, but there is potential for improvement in the implementation of data protection measures.

A lot of the recommended improvements have already been implemented by the ÖRK. Within the existing system, some of these recommendations had been met by the day of the press conference; others require long-term changes – including some adaptations by Apple and Google.

Media Coverage: Ö1 Mittagsjournal, derstandard.at, heise.de, futurezone.at, ZIB 13:00, Computerwelt, PA Rotes Kreuz, diepresse.com, derbrutkasten.com, Ö3, NÖN.at, krone.at, OÖNachrichten
(all Apr 22)
FM4 Morning Show
(Apr 23)

Press conference on April 22, 2020 with Thomas Lohninger (epicenter.works), Max Schrems (noyb.eu), and Christian Kudera (SBA Research)
Watch on YouTube

Background. The ÖRK and Accenture GmbH (who are programming the app for the ÖRK) provided epicenter.works, noyb.eu, and SBA Research with the source code of the Stopp Corona app (version 1.1) for an analysis regarding IT security, data protection, and legal aspects. The analysis was free of charge.

25 Recommendations. Experts from epicenter.works, noyb.eu, and SBA Research reviewed the application in terms of security and privacy and summarized their findings as well as 25 recommendations in a report. The results were presented at a virtual press conference on April 22, 2020. The full report is available here: Report of the Analysis

Accenture implemented 16 of the recommendations via a “hotfix” on the day of the press conference; further three recommendations were taken care of in the following version of the app, and the last four recommendations will be implemented at the end of May 2020.

Decentralized Concept. The app is based on a decentralized storage of data on the users’ mobile phones; however, the communication between the phones largely takes place via central servers, as the relevant Bluetooth protocol cannot transfer enough data between the mobile phones.

Thomas Lohninger, CEO of epicenter.works: “In the meantime, concepts such as DP-3T or Co-Epi offer solutions that also enable the majority of communication directly from mobile phone to mobile phone and are thus even more data protection-friendly. We recommend that the ÖRK switches to this concept as soon as it is technically possible.” In particular, this requires some technical changes by Apple and Google to ensure that the app works smoothly also on iPhones.

Technical Examination. The experts state that the app has a good base level with regard to security- and data protection aspects, but recommend a number of improvements. Christian Kudera, IT security expert at SBA Research: “A statistics function was built into the app which transmitted the exchange of contacts via Bluetooth and the receipt of infection messages to the Red Cross. The statistics function was removed immediately due to our urgent recommendation.”

Another issue is the offline tracking of devices. Christian Kudera, IT security expert at SBA Research: “It had been possible for attackers to recognize smartphones at certain locations over long periods of time and, in extreme cases, to create motion profiles. This problem was fixed in the following version.”  As an interim solution, users did have the possibility to deactivate the automatic handshake.

GDPR. The concept of the app is also permissible under the European law of data protection and privacy. Max Schrems, data protection lawyer, noyb.eu: “In any case, the Red Cross concept complies with data protection regulations. However, given the extremely fast implementation one can still improve in the details. We have recommended even more precise information and more thoughts on how to ensure that the Corona warnings are correct. Most of these recommendations were implemented immediately.”

Contact Tracing Apps. Ideally, contact tracing apps can save lives. The Austrian “Stopp Corona” app is, as far as is known, a pioneer in Europe with 400,000 installations by April 2020. Max Schrems: “We are certainly pioneers in Europe now, but the state of the art is changing almost daily and the Red Cross must certainly keep up with it.”

This press conference was recorded and is available on the YouTube channels of epicenter.works, noyb.eu, and SBA Research.

For further information please contact:

Experten von epicenter.works, noyb.eu und SBA Research evaluieren die Stopp Corona-App des Roten Kreuzes auf Datensicherheit und Datenschutz. Es wurden keine kritischen Sicherheitslücken gefunden, jedoch einiges Verbesserungspotential bei der Umsetzung des Datenschutzes identifiziert. 

Viele empfohlene Verbesserungen wurden bereits vom ÖRK umgesetzt. Innerhalb des bestehenden Systems wurden einige dieser Punkte bereits heute implementiert, andere benötigen langfristige Änderungen – auch durch Apple und Google.

Media Coverage: Ö1 Mittagsjournal, derstandard.at, heise.de, futurezone.at, ZIB 13:00, Computerwelt, PA Rotes Kreuz, diepresse.com, derbrutkasten.com, Ö3, NÖN.at, krone.at, OÖNachrichten
(all Apr 22)
FM4 Morning Show
(Apr 23)

Pressekonferenz am 22.04.2020 mit Thomas Lohninger (epicenter.works), Max Schrems (noyb.eu), Christian Kudera (SBA Research)
Watch on YouTube

Hintergrund zur Prüfung. Das Österreichische Rote Kreuz (ÖRK) und Accenture GmbH haben den Quellcode der Stopp Corona-App (Version 1.1) epicenter.works, noyb.eu und SBA für eine Analyse zur Verfügung gestellt, um die Software im Hinblick auf IT-Security, Datenschutz und rechtliche Aspekte zu analysieren. Die Analyse erfolgte unentgeltlich.

26 Empfehlungen. Experten von epicenter.works, noyb.eu und SBA Research haben die Applikation sicherheitstechnisch und im Hinblick auf Datenschutz überprüft und ihre Erkenntnisse und 26 Empfehlungen in einem Bericht zusammengefasst. Die Ergebnisse wurden in einer Pressekonferenz am 22. April 2020 präsentiert, der vollständige Bericht ist hier abrufbar: Bericht zur Analyse

Accenture (die die App für das ÖRK programmieren) hat bereits zugesagt 16 der Empfehlungen mit einem “Hotfix” heute, drei der Empfehlungen mit der nächsten Version der App und vier Empfehlung in etwa vier Wochen umzusetzen.

Dezentrales Konzept. Die App basiert zwar auf einer dezentralen Speicherung der Daten auf dem eigenen Handy – die Kommunikation zwischen den Telefonen passiert aber noch weitestgehend über zentrale Server, da das relevante Bluetooth-Protokoll zu wenig Daten zwischen den Mobiltelefonen übertragen kann.

Thomas Lohninger, Geschäftsführer epicenter.works: “Inzwischen gibt es mit Konzepten wie DP-3T oder Co-Epi Lösungen, die auch den Großteil der Kommunikation direkt von Handy zu Handy ermöglichen und damit noch datenschutzfreundlicher sind. Wir empfehlen dem ÖRK, sobald das technisch möglich ist, auf dieses Konzept zu wechseln.” Hierzu ist insbesondere auch eine angekündigte technische Umstellung von Apple und Google notwendig, damit die App auch auf iPhones reibungslos funktioniert.

Technische Prüfung. Grundsätzlich bescheinigen die Fachleute der App im Hinblick auf sicherheitstechnische Aspekte und Fragen des Datenschutzes ein gutes Ausgangsniveau, empfehlen jedoch eine Reihe von Nachbesserungen. Christian Kudera, IT-Sicherheitsexperte SBA Research: “In der App war eine Statistikfunktion eingebaut, die den Kontaktaustausch über Bluetooth und den Empfang von Infektionsnachrichten an das Rote Kreuz übermittelt hat. Die Statistikfunktion wurde aufgrund unserer dringenden Empfehlung umgehend entfernt.”

Ein weiteres Problem ist das Offline-Tracking von Geräten. Christian Kudera, IT-Sicherheitsexperte SBA Research: “Es ist für Angreifer möglich, Smartphones über längere Zeiträume an bestimmten Orten wiederzuerkennen und im Extremfall Bewegungsprofile zu erstellen. Uns wurde zugesagt, dass dieses Problem mit einer neuen Version Ende nächster Woche behoben wird.” Nutzer*innen können als Zwischenlösung den automatischen Handshake deaktivieren.

DSGVO. Das Konzept der App ist auch nach dem europäischen Datenschutzrecht zulässig. Max Schrems, Datenschutzjurist, noyb.eu: “Das Konzept des Roten Kreuz ist jedenfalls datenschutzkonform. In der doch extrem schnellen Umsetzung kann man aber noch in Details nachbessern. Wir haben noch genauere Informationen empfohlen und mehr Gedanken, wie man sicherstellen kann, dass die Corona-Warnungen auch korrekt sind. Vieles davon wurde sofort umgesetzt.”

Contact-Tracing-Apps. Contact-Tracing-Apps können im Idealfall Leben retten. Die österreichische “Stopp Corona”-App ist, soweit bekannt, mit 400.000 Installationen bisher Vorreiter in Europa. Gleichzeitig Max Schrems: “In Europa sind wir jetzt sicher Vorreiter, aber der Stand der Technik ändert sich aktuell fast täglich und das Rote Kreuz muss da sicher weiter dran bleiben.”

Die heutige Pressekonferenz wurde aufgezeichnet und ist auf den YouTube-Kanälen der teilnehmenden Organisationen verfügbar.

Rückfragehinweis: