Corona-”Datenspende-App”: Der Datenspion durch die Hintertür

Lesezeit 4 minutes

Hände weg von der sog. “Datenspende-App” des RKI, wenn Ihnen Ihre Gesundheitsdaten lieb und teuer sind, und Sie nicht wollen, dass Sie auch nach der Löschung der Spitzel-App vom RKI auf Schritt und Tritt verfolgt und überwacht werden. 

Haben Sie die App installiert, empfehle ich Löschung und eine Neuinstallation des gesamten Mobiltelefons. Wir wissen derzeit nicht, welche versteckten Eigenschaften diese Spionage-App auch noch auf dem Smartphone ohne Ihr Wissen installiert. Das Aufgedeckte des CCC ist vielleicht erst die Spitze des Skandals.

“Datenspende” eine Spionage-APP des RKI

Was ist eine Spende? Eine materielle Zuwendung an einem Dritten ohne Gegenleistung. Spende klingt positiv, man unternimmt etwas Gutes, z. B. eine Geldspende an einem Tierschutzverein etc. Außerdem sind der Spender und der Empfänger bekannt, Sie als Spender, der Tierschutzverein als Empfänger.

Im Zuge des Fake-Virus wurde von der neuen Bundesregierung, dem RKI, dem Volk eine App untergejubelt, die sich freundlich “Datenspende-App” nennt. Klingt freundlich. Sie spenden Ihre Daten zum Allgemeinwohl, der Verhinderung eines nie bewiesen Virus. Da kann man doch nicht ablehnen, es dient doch dem Allgemeinwohl.

Und so installierten uninformierte Bürger diese App, im Zusammenhang mit ihrem Fitnissarmbändern. Dieses zeichnet Gesundheitsdaten wie Fieber, Schritte, Herzschlag und Blutdruck auf und sendet diese Daten an das RKI, wo die Daten sicher sind, anonym und nicht dem Spender ausweisen.

Die App warnt dann, wenn man “Corona” bekommt und warnt ferner dem Nutzer vor anderen “Coronainfizierten” = Bürger mit anderer Meinung. 

Datensicherheit? Was ist das?

An die 400.000 Nutzer verzeichnete diese App, der Chaos-Computer-Club hat sich ihrer angenommen. Zum Einen zeichnet diese App – ungefragt – Ihre Standorte auf.

Man möge meinen, dass die Daten vom Armband zur App auf dem Handy und dann an die Server des RKI gesendet würden, wo sie eine gute Tat darstellen. Irrtum.

Zum Anderen ist die App und Ihr Handy für den Datentransport gar nicht notwendig. Die App stellt ungefragt eine Direktverbindung mit dem Server des Armbandes und den Servern des RKI her und kann jederzeit – ohne Ihre Einwilligung – an Ihre Gesundheitsdaten.

Die zentrale Funktionalität der Smartphone-App ist das Herstellen einer Verbindung zwischen dem Fitnesstracker des Datenspenders und den Servern des RKI sowie anschließend die kontinuierliche Weitergabe der Fitnessdaten über diese Verbindung. Die App leitet Fitnessdaten je nach Datenquelle auf unterschiedlichen Wegen an den Server des RKI:

[…]1. Der Server des RKI erhält direkten Zugang zu auf den Servern der Fitnesstracker-Anbieter oder bei Google Fit gespeicherten Daten. Hierzu speichert das RKI eine große Anzahl von Zugangsdaten mit hohem Schutzbedarf. Diese Zugangsdaten erlauben den Zugriff auf nicht pseudonymisierte und historische Fitnessdaten und bei den Anbietern Fitbit, Garmin, Polar und bei Google Fit den Zugriff auf die vollständigen Namen der Datenspender.

  1. Der Server des RKI hat nicht nur Zugriff auf, sondern empfängt auch vollständige, d. h.nicht-pseudonymisierte Daten teils mitsamt vollständiger Namen der Datenspender. Eine Pseudonymisierung ist erst anschließend nach Empfang der vollständigen Daten auf Seiten des RKI möglich.
  1. Eine Kontrolle des Datenflusses an das RKI und der anschließend vorgenommenen Pseudonymisierung durch das RKI ist dem Datenspender nicht möglich.
  2. Der direkte Zugang des RKI zu den Fitnessdaten wird bei Deinstallation der Smartphone-App nicht automatisch beendet.[…]

Das bedeutet im Klartext:

Wenn Sie die App löschen, besteht auch weiterhin Direktkontakt zwischen den Servern des RKI und des Armbandes. Das RKI kennt Ihre Identität, weiß anhand der Spende, von wem die Daten stammen, erst hinterher findet eine Verschleierung statt.

Gefakte Erkrankte und falsche Identitäten

Es ist ganz einfach möglich, sich mit falschen Personendaten in der App anzumelden und gefakte Infektionszahlen anhand von Manipulationen des Armbandes pro PLZ herzustellen. Datensicherheit sieht anders aus: 

[…]Es ist beabsichtigt, aus den Analyseergebnissen der Fitnessdaten lokal begrenzte Maßnahmen zur Eindämmung der SARS-CoV-2-Pandemie abzuleiten. 

Kann die Herkunft der Fitnessdaten (Authentizität) oder deren Korrektheit und Unversehrtheit (Integrität) angegriffen bzw. manipuliert werden, dann können auch die veranlassten Maßnahmen manipuliert bzw. gezielt herbeigeführt werden. 

Die Motivation für derartige Angriffe ist vielfältig, denkbar ist beispielsweise die gezielte Behinderung eines produzierenden Gewerbes durch Veranlassen strenger

Eindämmungsmaßnahmen in einem bestimmten Postleitzahlbereich mittels einer hohen Anzahl vorgetäuschter Infektionen. Ein Angriffsweg ist das wiederholte, zeitversetzte und plausibel variierte Einspielen von Fitnessdaten eines infizierten Datenspenders.

3.2.1 Neue Pseudonyme anlegen

Der Server des RKI bietet eine einfache Möglichkeit zum Erstellen eines neuen Pseudonyms mit frei wählbarer Postleitzahl (siehe 3.6) mit sehr geringem Ressourcen-Einsatz (einfacher HTTP-POST-Request). Laut Datenschutzerklärung der App werden zudem serverseitig keine personenbeziehbaren IP-Adressen zur Missbrauchserkennung gespeichert.[…]

Was vielleicht die neuen hohen “Erkrankungszahlen” erklären würde…

Aber dann sind doch die Server des RKI auf Stand der Zeit?

Wenn Sie dies von einer staatlichen Behörde erwarten, sind Sie nicht mehr zu retten. Würden Sie Ihre Gesundheitsdaten einem CMS wie WordPress und seinen Plugins anvertrauen, einem Web-Seiten-Verwaltungsprogramm? Würden Sie Ihre Krankenakten in WordPress speichern? Nein. Wenn Sie die App nutzen, doch, unfreiwillig und genötigt:

[…]Auf dem Webserver corona-datenspende.de wird eine WordPress-Instanz betrieben. 

Die angegeben Versionen von Apache und PHP sind veraltetet und bekannte Schwachstellen in diesen Versionen möglicherweise ungepatcht. [Die Bediener der Seite wissen nicht einmal, wie man WordPress-Updates aufspielt 😉 d. V.]

Bei einer Kompromittierung von corona-datenspende.de wird auf diesem Umweg der OAuth2-Authorization-Code sowie der vertrauliche State-Parameter exponiert (siehe 3.3.3). Zudem gestattet eine Kompromittierung von corona- datenspende.de einem Angreifer direkte Einflussnahme auf die innerhalb des Webviews in der Smartphone-App angezeigten Inhalte und somit Potenzial für Phishing-Angriffe. Insgesamt stellt dieser Umweg eine deutliche Vergrößerung der Angriffsoberfläche dar .[…]

Die moralische Verpflichtung von Webseitenbetreibern, ihre Seite sicher und aktuell zu halten, kennen die Betreiber nicht. Auch die gesetzliche Verpflichtung, die Daten des Besuchers zu schützen, ebenso nicht – DSGVO.

Google offen wie ein Scheunentor…

[…]Ein Angreifer mit direktem Zugang zum Smartphone des Datenspenders – beispielsweise nach einem Diebstahl oder Verlust – kann mit diesen Session-Cookie auf das Google-Konto des Anwenders zugreifen – und zwar dauerhaft, da bei Login die Option „Angemeldet bleiben“ vorausgewählt ist.[…]

Zusammenfassung des Datenspende-Skandals des RKI niederschmetternd

[…] Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben. 

Angesichts des hohen Schadpotenzials auch in Hinblick auf weitere App-gestützte Maßnahmen zur Eindämmung der SARS-CoV-2-Pandemie sind die identifizierten Schwachstellen und daraus resultierenden Risiken auf Dauer nicht tragbar. Die Autoren empfehlen daher eine zeitnahe nachträgliche Umsetzung der gegebenen Empfehlungen.

Für künftige Vorhaben nicht nur unter dem Oberbegriff „Corona-App“ empfehlen die Autoren dagegen proaktives Handeln: Viele der identifizierten Risiken lassen sich bereits im Vorfeld unter Berücksichtigung der vom Chaos Computer Club veröffentlichten 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps 24 eliminieren. 

Die darin vom Chaos Computer Club geforderte Transparenz fördert zudem eine aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit das Potenzial, künftige App-gestützte Maßnahmen noch zielgerichteter zur Reife zu bringen.[…]

CCC -Zusammenfassung-Datenspendeapp PDF

 

https://www.ccc.de/de/updates/2020/abofalle-datenspende

Jeweils abgerufen am 24.04.2020 um 19.25 h

___________________________________________________________________________________________________________

Videobeiträge: Klicken Sie bitte auf den obigen Link zum Anschauen. Sollte die Datei nicht abspielen, senden Sie bitte über Mail oder Chat eine kurze Nachricht mit dem Titel des Artikels – vielen Dank für Ihre Bemühungen…

Hat Ihnen der Beitrag gefallen? Haben Sie Fragen oder Anregungen?
Nehmen Sie Kontakt über das Chatfenster auf, oder schreiben Sie eine Mail:

admin@wahrheitschecker.de

Wir freuen uns auf Ihre Nachricht!

Related Post
Coronafake: Spahns neues Gesetz:VIDEO

https://www.youtube.com/watch?v=VSwZU9Ivrdo       Spahns_neues_Gesetz_   Entwurf: 200501_fassung_coronaschvo_ab_04.05.2020

Corona-Virus: Befreiung Maskenzwang NRW möglich

Derzeit entsteht eine “Volksgemeinschaft der Maskenträger”, Menschen, die staatlich genötigt werden, am Ende einer (Fake)-Pandemie zu ihrem “Schutz” und dem Read more

Corona 41,5 – Widerstand2020

https://www.youtube.com/watch?v=qdtYc8R3qrE&t=857s

Corona 39 Dr. Bodo Schiffmann, Schwindelambulanz Sinsheim – VIDEO

    https://www.youtube.com/watch?v=PJ8D5Pvilo0  

Unsere Bewertung
Klicken, um den Artikel zu bewerten!
[Total: 0 Average: 0]