C0050
Die Behauptung
“Die COVIDSafe-App-Datenschutzrichtlinie erwähnte nicht, dass Informationen über das Telefonmodell und den Gerätenamen (z. B. „Mary's iPhone“) über Bluetooth übertragen werden. Ein Beispiel für die Ausnutzung dieser Schwachstelle ist, dass ein häuslicher Gewalttäter feststellen kann, ob das Opfer zu Hause ist und die Mitbewohner nicht, ohne das Gebäude zu betreten.”
Originalquelle: Matthew Davis
Analysiert: 29 Jan 2026
Originalquellen
✅ FAKTENÜBERPRÜFUNG
Die Kernbehauptung enthält mehrere technische und faktische Elemente, die einer sorgfältigen Überprüfung bedürfen:
The core claim contains multiple technical and factual elements that require careful verification:
### Was die CVE-Dokumentation tatsächlich zeigt ### What the CVE Documentation Actually Shows
Es gibt eine echte Bluetooth-Schwachstelle in COVIDSafe (Android v1.0.17 und früher), dokumentiert als **CVE-2020-12860** und **CVE-2020-12856** [1][2]. There IS a genuine Bluetooth vulnerability in COVIDSafe (Android v1.0.17 and earlier), documented as **CVE-2020-12860** and **CVE-2020-12856** [1][2].
Die Charakterisierung der Behauptung bezüglich der offengelegten Informationen ist jedoch nur teilweise zutreffend und erfordert wichtigen Kontext. However, the claim's characterization of what information is exposed is partially accurate but requires important context.
Laut der CVE-2020-12860-Technischen Dokumentation ermöglicht COVIDSafe bis v1.0.17 einem entfernten Angreifer den Zugriff auf Telefonname und Modellinformationen, weil ein BLE-Gerät vier Rollen haben kann und COVIDSafe alle davon nutzt [1]. According to the CVE-2020-12860 technical documentation, COVIDSafe through v1.0.17 "allows a remote attacker to access phone name and model information because a BLE device can have four roles and COVIDSafe uses all of them" [1].
Dies ermöglicht eine „Wiederidentifizierung eines Geräts und möglicherweise die Identifizierung des Namens des Besitzers" [1]. This allows for "re-identification of a device, and potentially identification of the owner's name" [1].
Eine separate Schwachstelle, CVE-2020-12856, entdeckt von den Forschern Jim Mussared und Alwen Tiu, beschreibt ein „stilles Pairing-Problem", bei dem „der Pairing-Prozess den Austausch permanenter Identifikatoren des Opfertelefons beinhaltet: die Identitätsadresse des Bluetooth-Geräts im Telefon und ein kryptografischer Schlüssel namens Identity Resolving Key (IRK)" [3]. A separate vulnerability, CVE-2020-12856, discovered by researchers Jim Mussared and Alwen Tiu, describes a "silent pairing issue" where "the bonding process involves exchanges of permanent identifiers of the victim phone: the identity address of the bluetooth device in the phone and a cryptographic key called Identity Resolving Key (IRK)" [3].
Beide Identifikatoren können für ein „langfristiges Tracking des Telefons" verwendet werden [3]. Either identifier can be used for "long term tracking of the phone" [3].
### Übertragung des Gerätenamens – Klarstellung erforderlich ### Device Name Broadcasting - Clarification Needed
Ein kritischer Detail: Laut einem Twitter-Thread des Sicherheitsforschers Matthew Rocklin (@matthewrdev) „überträgt die App den Gerätenamen NICHT" im normalen Betrieb der App [4]. A critical detail: According to a Twitter thread by security researcher Matthew Rocklin (@matthewrdev), "the app *does not* broadcast the device name" in the standard operation of the app [4].
Stattdessen „werden Sie, wenn ein anderes Telefon Sie erkennt, über eine Bluetooth-Adresse und nicht über einen Gerätenamen identifiziert" [4]. Instead, "when another phone detects you, you are identified using a Bluetooth address and not a device name" [4].
Die CVE-2020-12860-Schwachstelle ermöglicht es Angreifern jedoch, Telefonmodell- UND Gerätenamensinformationen durch BLE-Rollenmissbrauch zu extrahieren, was bedeutet, dass der Gerätename DURCH die Ausnutzung dieser Schwachstelle zugänglich ist, auch wenn er im normalen Betrieb nicht übertragen wird [1][2]. However, the CVE-2020-12860 vulnerability allows attackers to extract phone model AND device name information through BLE role misuse, meaning the device name IS accessible through exploitation of this vulnerability, even if not broadcast in normal operation [1][2].
### Datenschutzrichtlinie-Offenlegung ### Privacy Policy Disclosure
In Bezug auf die Behauptung, dass dies in der Datenschutzrichtlinie nicht erwähnt wurde: Die akademische QUT-Forschung zur COVIDSafe-Implementierung fand heraus, dass die Regierung eine Datenschutzfolgenabschätzung bereitstellte, die sich auf die Bluetooth-Datenerfassung konzentrierte [5]. Regarding the claim that this wasn't mentioned in the privacy policy: The QUT academic research on COVIDSafe implementation found that the government provided a Privacy Impact Assessment focusing on Bluetooth data collection [5].
Die Spezifika darüber, welche Informationen durch BLE-Schwachstellen extrahiert werden könnten, wurden jedoch möglicherweise nicht explizit in der verbrauchergerichteten Datenschutzrichtliniendokumentation detailliert [5]. However, the specifics of what information could be extracted through BLE vulnerabilities may not have been explicitly detailed in consumer-facing privacy policy documentation [5].
Die Datenschutzrichtlinie wies darauf hin, dass „ein Bluetooth-Scan verwendet werden kann, um Informationen über den Standort des Benutzers zu sammeln" [6], detaillierte jedoch möglicherweise nicht die spezifische Schwachstelle der Gerätenamen-/Modell-Extraktion [5]. The privacy policy did note that "a Bluetooth scan can be used to gather information about the location of the user" [6], but may not have detailed the specific vulnerability of device name/model extraction [5].
Fehlender Kontext
### Zeitplan und Patch-Status
### Timeline and Patch Status
Die Schwachstelle wurde am 5. The vulnerability was reported to DTA (Department of Home Affairs) on May 5, 2020, and **was fixed in COVIDSafe (Android) v1.0.18** [3].
Mai 2020 dem DTA (Department of Home Affairs) gemeldet und wurde in COVIDSafe (Android) v1.0.18 behoben [3]. The app was deployed April 26, 2020, meaning this vulnerability existed for approximately 3 weeks before patches were available [1][3].
Die App wurde am 26. The fix was implemented promptly after discovery [3].
April 2020 bereitgestellt, was bedeutet, dass diese Schwachstelle etwa 3 Wochen lang existierte, bevor Patches verfügbar waren [1][3]. ### Domestic Violence Exploitation - Theoretical vs Proven
Die Korrektur wurde umgehend nach der Entdeckung implementiert [3]. While the claim presents a scenario where "a domestic violence abuser can tell whether the victim is at home and their house-mates are not," this appears to be a **theoretical vulnerability rather than documented evidence of actual exploitation** [1][3].
### Ausnutzung durch häusliche Gewalt – Theoretisch vs. Nachgewiesen The CVE documents discuss the technical capability for "long term tracking" through BLE identifier extraction [3], but there is no evidence in the published vulnerability disclosures, academic literature, or media reporting of actual instances where this vulnerability was exploited for domestic violence tracking [2][3].
Während die Behauptung ein Szenario darstellt, in dem „ein häuslicher Gewalttäter feststellen kann, ob das Opfer zu Hause ist und die Mitbewohner nicht", scheint dies eine **theoretische Schwachstelle zu sein, eher als nachgewiesene Beweise für eine tatsächliche Ausnutzung** [1][3]. This is a **legitimate security concern** that researchers identified and responsibly disclosed, but characterizing it as a known exploitation method without documented instances is an extrapolation beyond what the evidence shows.
Die CVE-Dokumente diskutieren die technische Fähigkeit für ein „langfristiges Tracking" durch BLE-Identifikator-Extraktion [3], aber es gibt keine Beweise in den veröffentlichten Schwachstellen-Offenlegungen, akademischer Literatur oder Medienberichten über tatsächliche Fälle, in denen diese Schwachstelle für das Tracking bei häuslicher Gewalt ausgenutzt wurde [2][3]. ### Technical Accuracy of "Broadcasting"
Dies ist ein **legitimes Sicherheitsproblem**, das von Forschern identifiziert und verantwortungsvoll offengelegt wurde, aber die Charakterisierung als bekannte Ausnutzungsmethode ohne dokumentierte Fälle ist eine Übertreibung jenseits dessen, was die Beweise zeigen. The claim uses the word "broadcast" which is technically imprecise.
### Technische Genauigkeit von „Übertragung" Device names are not continuously broadcast in COVIDSafe's normal operation.
Die Behauptung verwendet das Wort „übertragen" (broadcast), was technisch unpräzise ist. Rather, they are exposed through BLE technical vulnerabilities (role misuse) that allow attackers to extract this information from the device's Bluetooth stack [1][2].
Gerätenamen werden nicht kontinuierlich im normalen COVIDSafe-Betrieb übertragen. This is a meaningful distinction because it affects threat modeling—an attacker would need to actively conduct a technical exploit, not merely be in Bluetooth range [3].
Vielmehr werden sie durch BLE-Technikschwachstellen (Rollenmissbrauch) offengelegt, die es Angreifern ermöglichen, diese Informationen aus dem Bluetooth-Stack des Geräts zu extrahieren [1][2]. Dies ist eine bedeutsame Unterscheidung, da sie das Bedrohungsmodell beeinflusst – ein Angreifer müsste aktiv einen technischen Exploit durchführen, nicht einfach nur in Bluetooth-Reichweite sein [3]. Bewertung der Quellenglaubwürdigkeit
Die ursprüngliche Quelle ist ein **Google Doc** ohne identifizierten Autor, institutionelle Zugehörigkeit oder Veröffentlichungsnachweise in der Behauptungsdatei [7].
The original source is a **Google Doc** with no identified author, institutional affiliation, or publication credentials listed in the claim file [7].
Ohne Zugriff auf das vollständige Dokument ist eine Bewertung der Glaubwürdigkeit begrenzt. Without access to view the full document, assessing its credibility is limited.
Die Behauptung verweist jedoch auf legitime Sicherheitsschwachstellen (CVE-2020-12860 und CVE-2020-12856), die in offiziellen Quellen gut dokumentiert sind. However, the claim does reference legitimate security vulnerabilities (CVE-2020-12860 and CVE-2020-12856) that are well-documented in official sources.
Die zugrunde liegenden CVE-Offenlegungen und akademische Forschung stammen aus glaubwürdigen Quellen: - **CVE-2020-12860**: Veröffentlicht von MITRE/NVD (National Vulnerability Database), offizielle Schwachstellenverfolgung [1] - **CVE-2020-12856**: Entdeckt und offengelegt von Jim Mussared (George Robotics) und Alwen Tiu (ANU), veröffentlicht auf GitHub mit technischer Dokumentation [3] - **QUT Akademische Forschung**: Begutachteter Artikel über COVIDSafe-Implementierung von der Queensland University of Technology [5] Diese Quellen sind glaubwürdige technische Offenlegungen, keine parteilichen Quellen. The underlying CVE disclosures and academic research are from credible sources:
- **CVE-2020-12860**: Published by MITRE/NVD (National Vulnerability Database), official vulnerability tracking [1]
- **CVE-2020-12856**: Discovered and disclosed by Jim Mussared (George Robotics) and Alwen Tiu (ANU), published on GitHub with technical documentation [3]
- **QUT Academic Research**: Peer-reviewed article on COVIDSafe implementation from Queensland University of Technology [5]
These sources are credible technical disclosures, not partisan sources.
⚖️
Labor-Vergleich
**Hatte Labor eine vergleichbare Technologie-Datenschutz-Panne?** Durchgeführte Suche: „Labor-Regierung Technologie Datenschutz-Pannen Contact Tracing" Labors Beteiligung an Contact-Tracing-Technologie war in dieser Zeit begrenzt, da die Koalitionsregierung (2013–2022) an der Macht war und COVIDSafe entwickelte.
**Did Labor have equivalent technology privacy failures?**
Search conducted: "Labor government technology privacy failures contact tracing"
Labor's involvement with contact tracing technology was limited during this period, as the Coalition government held power (2013-2022) and developed COVIDSafe.
Labor war in der Opposition und entwickelte keine alternative Contact-Tracing-App [8]. Labor was in opposition and did not develop an alternative contact tracing app [8].
Es gab jedoch branchenweite Technologie-Datenschutzbedenken bei beiden Parteien: - Sowohl Labor- als auch Koalitionsregierungen wurden für unzureichende Datenschutzmaßnahmen bei digitalen Regierungsdiensten kritisiert [8] - Datenschutzreform-Bemühungen in Australien waren parteiübergreifende Themen, mit Bedenken zur Regierungsdatenhandhabung allgemein, nicht spezifisch für eine Partei [8] - Die breiteren Datenschutzrahmenbedenken, die die spezielle COVIDSafe-Gesetzgebung erforderlich machten, sind systemimmanent für Australiens fragmentiertes Datenschutzrecht, nicht einzigartig für die Koalitionsimplementierung [5] Im Wesentlichen gibt es kein direktes Labor-Äquivalent, da Labor nicht in der Regierung während der COVID-19-Pandemie war und keine Contact-Tracing-Apps entwickelte. However, broader technology privacy concerns existed across both parties:
- Both Labor and Coalition governments have faced criticism for inadequate privacy protections in digital government services [8]
- Privacy reform efforts in Australia have been cross-party issues, with concerns raised about government data handling practices generally, not specific to one party [8]
- The broader privacy framework issues that necessitated special COVIDSafe legislation are systemic to Australia's fragmented privacy law regime, not unique to Coalition implementation [5]
In essence, there is no direct Labor equivalent because Labor was not in government during the COVID-19 pandemic and did not develop contact tracing apps.
🌐
Ausgewogene Perspektive
### Die legitime technische Schwachstelle
### The Legitimate Technical Vulnerability
Die Behauptung ist **korrekt, dass eine echte technische Schwachstelle in COVIDSafe existierte**, die theoretisch Gerätemodell- und Namensinformationen offenlegen könnte, und dass diese Informationen potenziell zur Standort-/Anwesenheitsverfolgung genutzt werden könnten [1][3]. The claim is **correct that a genuine technical vulnerability existed** in COVIDSafe that could theoretically expose device model and name information, and that this information could potentially be used to track someone's location/presence [1][3].
Die Schwachstelle war real, von glaubwürdigen Sicherheitsforschern dokumentiert und verantwortungsvoll offengelegt [3]. The vulnerability was real, documented by credible security researchers, and responsibly disclosed [3].
### Die Regierungsreaktion ### The Government's Response
Positiv zu vermerken ist, dass die australische Regierung auf die Offenlegung reagierte, indem sie einen Patch (v1.0.18) innerhalb von etwa 3 Wochen nach der Benachrichtigung veröffentlichte [3]. Positively, the Australian Government acted on the disclosure by releasing a patch (v1.0.18) within approximately 3 weeks of being notified [3].
Die App enthielt auch zusätzliche Datenschutzmaßnahmen im Vergleich zu vergleichbaren Apps wie Singapurs TraceTogether, einschließlich strafrechtlicher Sanktionen für unbefasste Datennutzung [5]. The app also included additional privacy protections compared to comparable apps like Singapore's TraceTogether, including criminal penalties for unauthorized data use [5].
### Übertriebene Behauptungen über praktische Ausnutzung ### Overstated Claims About Practical Exploitation
Der Schritt von „eine technische Schwachstelle existiert, die theoretisch Geräteinformationen offenlegen könnte" zu „häusliche Gewalttäter können dies ausnutzen" wird nicht durch Beweise gestützt. The leap from "a technical vulnerability exists that theoretically could expose device information" to "domestic violence abusers can exploit this" is not supported by evidence.
Während das theoretische Risiko für Sicherheitshinweise gültig ist, ist die Behauptung einer dokumentierten Ausnutzung ohne Beweise irreführend [1][3][7]. While the theoretical risk is valid for security advisories, claiming documented exploitation without evidence is misleading [1][3][7].
### Datenschutzrichtlinie und Offenlegungsproblem ### Privacy Policy and Disclosure Issue
Die Behauptung über die Datenschutzrichtlinie-Offenlegung ist teilweise zutreffend. The claim about privacy policy disclosure is partially valid.
Die Regierung hat möglicherweise BLE-Schwachstellenrisiken nicht explizit allgemeinen Benutzern detailliert, obwohl Datenschutzfachleute erwarten würden, dass solche Risiken Teil der Sicherheitsbedrohungsmodellierung sind [5]. The government may not have explicitly detailed BLE vulnerability risks to general users, though privacy professionals would expect such risks to be part of security threat modeling [5].
Die Datenschutzrichtlinie offenbarte die Bluetooth-Datenerfassung, aber die Spezifika potenzieller BLE-Angriffe waren möglicherweise nicht verbrauchergerichtet [5][6]. The privacy policy did disclose Bluetooth data collection, but specifics of potential BLE attacks may not have been consumer-facing [5][6].
### Tatsächliche Auswirkungsbewertung ### Actual Impact Assessment
Angesichts, dass: - Die Schwachstelle relativ schnell gepatcht wurde (innerhalb von ~3 Wochen) [3] - Die App freiwillig blieb und eine geringe Akzeptanz hatte (nie die Regierungsziele erreichte) [5] - Die Ausnutzung technische Raffinesse über gelegentliche Überwachung hinaus erfordern würde [3] - Keine dokumentierten Fälle von Ausnutzung für häusliche Gewalt existieren [1][3] Scheint der **tatsächliche praktische Schaden begrenzt** zu sein im Vergleich zu dem Schweregrad, den die Behauptung impliziert. Given that:
- The vulnerability was patched relatively quickly (within ~3 weeks) [3]
- The app remained voluntary and had low uptake (never reached government targets) [5]
- The exploitation would require technical sophistication beyond casual surveillance [3]
- No documented cases of exploitation for domestic violence exist [1][3]
The **actual practical harm appears limited** compared to the severity the claim implies.
TEILWEISE WAHR
5.5
von 10
Die Behauptung ist korrekt, dass: (1) eine echte technische Schwachstelle existierte, die die Extraktion von Gerätemodell/-namen ermöglichte, und (2) diese Informationen theoretisch zur Anwesenheitsverfolgung genutzt werden könnten.
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
Die Behauptung ist jedoch irreführend in: (1) der Charakterisierung einer theoretischen Schwachstelle als dokumentierte Ausnutzung für häusliche Gewalt, (2) der unpräzisen Verwendung von „übertragen", und (3) der Auslassung, dass die Schwachstelle schnell gepatcht und verantwortungsvoll offengelegt wurde. However, the claim is misleading in: (1) characterizing theoretical vulnerability as documented exploitation for domestic violence, (2) using "broadcast" imprecisely, and (3) omitting that the vulnerability was patched quickly and responsibly disclosed.
Die Behauptung stellt die schlimmstmögliche technische Fähigkeit dar, als wäre sie ein tatsächliches Bedrohungsszenario mit dokumentierter Ausnutzung. The claim presents worst-case technical capability as if it were an actual threat scenario with documented exploitation.
Endergebnis
5.5
VON 10
TEILWEISE WAHR
Die Behauptung ist korrekt, dass: (1) eine echte technische Schwachstelle existierte, die die Extraktion von Gerätemodell/-namen ermöglichte, und (2) diese Informationen theoretisch zur Anwesenheitsverfolgung genutzt werden könnten.
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
Die Behauptung ist jedoch irreführend in: (1) der Charakterisierung einer theoretischen Schwachstelle als dokumentierte Ausnutzung für häusliche Gewalt, (2) der unpräzisen Verwendung von „übertragen", und (3) der Auslassung, dass die Schwachstelle schnell gepatcht und verantwortungsvoll offengelegt wurde. However, the claim is misleading in: (1) characterizing theoretical vulnerability as documented exploitation for domestic violence, (2) using "broadcast" imprecisely, and (3) omitting that the vulnerability was patched quickly and responsibly disclosed.
Die Behauptung stellt die schlimmstmögliche technische Fähigkeit dar, als wäre sie ein tatsächliches Bedrohungsszenario mit dokumentierter Ausnutzung. The claim presents worst-case technical capability as if it were an actual threat scenario with documented exploitation.
📚 QUELLEN UND ZITATE (8)
-
1
cvedetails.com
Cvedetails
-
2
nvd.nist.gov
CVE-2020-12860
-
3
github.com
A bluetooth-related vulnerability in some contact tracing apps - alwentiu/COVIDSafe-CVE-2020-12856
GitHub -
4
threadreaderapp.com
Thread by @matthewrdev: The #covidsafe app is now available in Australia However, it's a shame that they have decided not to release the sourr full transparency. Luckily, I'm a curious chap and also a professional mobile developer. So, I've downloaded an…
Threadreaderapp -
5
lthj.qut.edu.au
Lthj Qut Edu
-
6
reddit.com
The heart of the internet -
7
docs.google.com
Privacy issues discovered in the BLE implementation of the COVIDSafe Android app Jim Mussared jim.mussared@gmail.com https://twitter.com/jim_mussared 28/04/2020 Last updated: 15/05/2020 Status: Public. Updates ongoing. Privacy issues discovered in the BLE implementation of the COVIDSafe Andr...
Google Docs -
8
ashurst.com
Australia's first tranche of privacy reforms – a deep dive and why they matter
Ashurst
Bewertungsskala-Methodik
1-3: FALSCH
Sachlich falsch oder böswillige Fälschung.
4-6: TEILWEISE
Etwas Wahrheit, aber Kontext fehlt oder ist verzerrt.
7-9: GRÖSSTENTEILS WAHR
Kleine technische Details oder Formulierungsprobleme.
10: KORREKT
Perfekt verifiziert und kontextuell fair.
Methodik: Bewertungen werden durch Abgleich offizieller Regierungsdokumente, unabhängiger Faktenprüfungsorganisationen und Primärquellendokumente bestimmt.