Wie heise berichtet, haben die beiden Sicherheitsforscher Doug Leith und Stephen Farrell von der School of Computer Science and Statistics vom Trinity College in Dublin, Irland eine Reihe nationaler Corona-Warn-Apps unter die Lupe genommen. Dabei stellten sie unter anderem fest, dass die „deutsche unter Datenschutzaspekten technisch vielleicht die sauberste“ App sei. Während die einzelnen Apps an sich aber weniger das Problem waren, hagelt es Kritik am Vorgehen von Googles Play Services.

Die Corona-Apps bauen auf den Grundfunktionen von iOS und Android auf, konkret kommt dabei das von Apple und Google entwickelte GAEN-Framework (Google Apple Exposure Notification) zum Einsatz. Bei Android stellen die Google Play Services die Funktionen parat, die von den Corona-Apps genutzt werden. Zu diesen gehört etwa das Rechtemanagement oder die Verwaltung der Bluetooth-Verbindungen.

Google Play Services: Android telefoniert regelmäßig nach Hause

Im Rahmen der Tests analysierten die Forscher die an Google übertragenen Daten. Circa alle 20 Minuten kontaktieren die Android-Geräte die Server von Google und übertragen dabei unter anderem Telefon- und SIM-Kartennummer. In einigen weniger häufigeren Fällen werden des Weiteren die Gerätenummer (IMEI), Seriennummer des Geräts, WLAN-MAC-Adresse, Android-ID und die E-Mail des Google-Kontos versandt.

Durch die Reduzierung einzelner Funktionen, als Beispiel werden die Nutzungs- und Diagnosedaten genannt, konnte man die Häufigkeit der Übertragungen auf alle 25 Minuten reduzieren. Gleichzeitig entfällt dann auch die Übermittlung von Telemetriedaten. Telefon- und SIM-Nummern würden aber weiterhin mit Google geteilt.

Gleichzeitig sollen auch IP-Adressen übertragen werden, die es Google erlauben, einen Standort zu bestimmen. Durch die Verknüpfung all dieser Daten könne das Unternehmen laut den Forschern die Nutzung der Apps verfolgen. Diesem Vorwurf widersprach ein Google-Sprecher gegenüber heise. So erhält Google „aus der Corona-Warn-App keine Informationen über den Endnutzer, Standortdaten oder Informationen über andere Geräte, in deren Nähe sich der Nutzer befindet“.

Diesen Daten haben nichts mit der Corona-App zu tun, sondern seien die „allgemeine und dokumentierte Funktionsweise von Android“. Sie werden dazu genutzt, um Geräte auf dem neuesten Stand zu halten und vor Angriffen zu schützen. „Diese Funktionalität hat nichts mit der Corona-Warn-App im Speziellen zu tun“, so Google weiter.

Die Forscher fordern neben mehr Transparenz bei den übertragenen Daten einen sogenannten „Quiet Mode“, der einen derartigen Datenaustausch mit den Play Services verhindert. Die aktuelle Praxis sei außerdem „nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar“.