>b's weblog

We present an analysis of the SwissCovid application which is currently being tested.We observe that the essential part of SwissCovid is under the control of Apple and Google.Outsourcing the heart of SwissCovid to Apple and Google has apparent bene ts in terms ofsecurity but drawbacks in terms of transparency, exibility, and sovereignty.We observe that SwissCovid is far from being open source. The Source code is kept by Microsoft.The protocol is implemented and controlled by Apple and Google. The server is hosted byAmazon. The current information suffers from unclear or incorrect statements.We con rm some of the threats which had been identi ed before. Users may be traced or identi edby third parties while tracing is on. Diagnosed users who report using SwissCovid have a risk to be identifieed by a third party. Malicious users may create false encounters and inject false at-risk notifications on targeted phones. They could abuse the system to have vacations paid by authorities by self-injecting false alerts. Diagnosed users could be corrupted to sell a covid code which would ease those attacks. Malicious apps could collect more information or do the job of SwissCovid outside of any control, and on behalf of a third party, even though SwissCovid is deactivated.

Wir stellen eine Analyse der Anwendung SwissCovid vor, die derzeit getestet wird, und stellen fest, dass der wesentliche Teil von SwissCovid unter der Kontrolle von Apple und Google steht. Die Auslagerung des Herzstücks von SwissCovid an Apple und Google hat offensichtliche Vorteile in Bezug auf die Sicherheit, aber Nachteile in Bezug auf Transparenz, Flexibilität und Souveränität. Der Quellcode wird von Microsoft aufbewahrt, das Protokoll wird von Apple und Google implementiert und kontrolliert. Der Server wird von Amazon gehostet. Die aktuelle Information leidet unter unklaren oder unrichtigen Aussagen und wir stellen fest, dass einige der zuvor identifizierten Bedrohungen bereits bekannt sind. Es kann vorkommen, dass Benutzer von Dritten zurückverfolgt oder identifiziert werden, während die Rückverfolgung läuft. Diagnostizierte Benutzer, die über SwissCovid berichten, haben das Risiko, von Dritten identifiziert zu werden. Böswillige Benutzer können falsche Begegnungen erzeugen und gefälschte Risiko-Benachrichtigungen gezielt in Telefone injizieren. Sie könnten das System missbrauchen, um von den Behörden bezahlte Urlaube zu erhalten, indem sie selbst falsche Meldungen eingeben. Diagnostizierte Benutzer könnten dazu verleitet werden, einen Covid-Code zu verkaufen, der diese Angriffe erleichtern würde. Bösartige Apps könnten mehr Informationen sammeln oder die Arbeit von SwissCovid ausserhalb jeder Kontrolle und im Auftrag einer Drittpartei erledigen, auch wenn SwissCovid deaktiviert ist.

Die Studie gibt's hier. (Sicherungskopie)