A Coronavirus Contact Tracing App Replay Attackwith Estimated Amplification Factors
COVID-19 tracing apps making use of Bluetooth LowEnergy (BLE) emit random-looking identifiers that can later beused to reveal previous proximity with a person who has testedpositive. For privacy reasons these identifiers generally cannotbe authenticated by recipients. This creates the potential for analready-known replay attack that we describe in further detailhere. In such attacks the bad actor’s goal is to create additionalfalse positive proximity warnings, either to disconcert the peoplereceiving erroneous warnings, or to discredit the overall system.While we point out ways in which the attack could be partlymitigated, we conclude that a) preventing the attack could addsignificant complexity to the overall system and might not befeasible, b) that the impact of the attack increases as more peoplerun the tracing app, and c) that the attack can be targeted againstkey staff in some scenarios so that targeting even with a smallamplification factor may cause noticeable damage. We present amodel for that amplification that implies we could see four ormore false positives per hour for the real positive tests that resultfrom use of a targeted testing station whilst it is being attacked.
COVID-19 Tracing-Apps, die Bluetooth LowEnergy (BLE) verwenden, senden zufällig aussehende Identifizierungsmerkmale aus, die später dazu verwendet werden können, frühere Nähe zu einer Person, die positiv getestet wurde, anzuzeigen. Aus Gründen des Datenschutzes können diese Identifikatoren von den Empfängern in der Regel nicht authentifiziert werden. Dadurch entsteht das Potenzial für einen analogen, bekannten Replay-Angriff, den wir hier näher beschreiben. Bei solchen Angriffen ist es das Ziel des schlechten Akteurs, zusätzliche falsche positive Annäherungswarnungen zu erzeugen, entweder um die Bevölkerung zu verunsichern, indem er falsche Warnungen empfängt, oder um das Gesamtsystem zu diskreditieren. Während wir Wege aufzeigen, wie der Angriff teilweise abgemildert werden könnte, kommen wir zu dem Schluss, dass a) die Verhinderung des Angriffs das Gesamtsystem erheblich komplexer machen könnte und möglicherweise nicht durchführbar wäre, b) dass die Wirkung des Angriffs zunimmt, je mehr Menschen die Tracing-Anwendung benutzen, und c) dass der Angriff in einigen Szenarien gegen Schlüsselpersonen gerichtet sein kann, so dass die Zielausrichtung selbst mit einem kleinen Verstärkungsfaktor merklichen Schaden verursachen kann. Wir stellen ein Modell für diese Verstärkung vor, das impliziert, dass wir vier oder mehr falsch-positive Ergebnisse pro Stunde für die wirklich positiven Tests sehen könnten, die sich aus der Verwendung einer gezielten Teststation ergeben, während diese angegriffen wird.