Analyse der SwissCovid App – bei der Sachlage kann man von der Verwendung der App nur abraten
We present an analysis of the SwissCovid application which is currently being tested.We observe that the essential part of SwissCovid is under the control of Apple and Google.Outsourcing the heart of SwissCovid to Apple and Google has apparent bene ts in terms ofsecurity but drawbacks in terms of transparency, exibility, and sovereignty.We observe that SwissCovid is far from being open source. The Source code is kept by Microsoft.The protocol is implemented and controlled by Apple and Google. The server is hosted byAmazon. The current information suffers from unclear or incorrect statements.We con rm some of the threats which had been identi ed before. Users may be traced or identi edby third parties while tracing is on. Diagnosed users who report using SwissCovid have a risk to be identifieed by a third party. Malicious users may create false encounters and inject false at-risk notifications on targeted phones. They could abuse the system to have vacations paid by authorities by self-injecting false alerts. Diagnosed users could be corrupted to sell a covid code which would ease those attacks. Malicious apps could collect more information or do the job of SwissCovid outside of any control, and on behalf of a third party, even though SwissCovid is deactivated.
Wir stellen eine Analyse der Anwendung SwissCovid vor, die derzeit getestet wird, und stellen fest, dass der wesentliche Teil von SwissCovid unter der Kontrolle von Apple und Google steht. Die Auslagerung des Herzstücks von SwissCovid an Apple und Google hat offensichtliche Vorteile in Bezug auf die Sicherheit, aber Nachteile in Bezug auf Transparenz, Flexibilität und Souveränität. Der Quellcode wird von Microsoft aufbewahrt, das Protokoll wird von Apple und Google implementiert und kontrolliert. Der Server wird von Amazon gehostet. Die aktuelle Information leidet unter unklaren oder unrichtigen Aussagen und wir stellen fest, dass einige der zuvor identifizierten Bedrohungen bereits bekannt sind. Es kann vorkommen, dass Benutzer von Dritten zurückverfolgt oder identifiziert werden, während die Rückverfolgung läuft. Diagnostizierte Benutzer, die über SwissCovid berichten, haben das Risiko, von Dritten identifiziert zu werden. Böswillige Benutzer können falsche Begegnungen erzeugen und gefälschte Risiko-Benachrichtigungen gezielt in Telefone injizieren. Sie könnten das System missbrauchen, um von den Behörden bezahlte Urlaube zu erhalten, indem sie selbst falsche Meldungen eingeben. Diagnostizierte Benutzer könnten dazu verleitet werden, einen Covid-Code zu verkaufen, der diese Angriffe erleichtern würde. Bösartige Apps könnten mehr Informationen sammeln oder die Arbeit von SwissCovid ausserhalb jeder Kontrolle und im Auftrag einer Drittpartei erledigen, auch wenn SwissCovid deaktiviert ist.
Die Studie gibt's hier. (Sicherungskopie)
However, due to the constraints to use the GAEN API, very little of DP3T is left in the app itself.
Aufgrund der Einschränkungen bei der Verwendung der GAENAPI ist jedoch nur sehr wenig von DP3T in der App selbst übrig geblieben.
5 Conclusion
We have shown that SwissCovid creates critical security and privacy threats. Shall they bereduced or not, we believe that they must be communicated. More importantly,
the available information is insufficient,
there are misconceptions about anonymity and open source,
there seems to be no room for public security test in the agenda,
and the developers of SwissCovid are bound to Google-Apple decisions.
5 Schlussfolgerungen
Wir haben gezeigt, dass SwissCovid kritische Gefahren in Sachen Sicherheit- und Privatheit aufweist. Gleich ob man ihnen nun Rechnung trägt oder auch nicht, wir glauben, dass über sie aufgeklärt werden muss. Und, noch wichtiger,
die Informationslage ist unzureichend,
es gibt Fehleinschätzungen zu Anonymität und Open Source,
es gibt anscheinend keinen Platz für einen öffentlichen Sicherheitstest in der Agenda,
und die Entwickler von SiwssCovid sind an die Entscheidungen von Google-Apple gebunden.