Teilweise wahr

Bewertung: 6.0/10

Problem melden
Coalition
C0192

Die Behauptung

“Es dauerte 21 Tage, um eine bekannte Sicherheitslücke in der COVIDSafe-App zu beheben.”
COVID Cybersicherheit Technologie
Originalquelle: Matthew Davis

Originalquellen

FAKTENÜBERPRÜFUNG

Die Kernbehauptung enthält eine faktisch korrekte Zeitleiste, auch wenn die zitierte Quelle nicht verifiziert werden kann.
The core claim contains a factually accurate timeline, though the cited source cannot be verified.
 Die tatsächlichen Ereignisse sind wie folgt: Eine erhebliche Bluetooth-Sicherheitslücke (CVE-2020-12856) wurde in der Android-Version der COVIDSafe-App identifiziert, die es Angreifern ermöglichen konnte, sich stillschweigend mit anfälligen Telefonen zu koppeln und eine langfristige Geräteverfolgung durchzuführen [1]. **Zeitleiste der Reaktion:** - **5.
The actual events are as follows: A significant Bluetooth vulnerability (CVE-2020-12856) was identified in the COVIDSafe app's Android version that could allow attackers to silently bond with vulnerable phones and conduct long-term device tracking [1]. **Timeline of response:** - **May 5, 2020**: Security researchers Jim Mussared (George Robotics) and Alwen Tiu (Australian National University) reported the vulnerability to the Digital Transformation Agency (DTA) [2] - **May 18, 2020**: Initial technical analysis was shared with developer teams [2] - **May 26, 2020**: The DTA released COVIDSafe version 1.0.18 with fixes to address the Bluetooth vulnerability [3] This represents a **21-day response period from initial notification (May 5) to public release of the fix (May 26)** [2][3].
 Mai 2020**: Die Sicherheitsforscher Jim Mussared (George Robotics) und Alwen Tiu (Australian National University) meldeten die Sicherheitslücke an die Digital Transformation Agency (DTA) [2] - **18.
Mai 2020**: Die erste technische Analyse wurde mit den Entwicklerteams geteilt [2] - **26.
Mai 2020**: Die DTA veröffentlichte COVIDSafe Version 1.0.18 mit Korrekturen zur Behebung der Bluetooth-Sicherheitslücke [3] Dies stellt eine **Reaktionszeit von 21 Tagen** von der ersten Meldung (5.
Mai) bis zur öffentlichen Veröffentlichung der Korrektur (26.
Mai) dar [2][3].

Fehlender Kontext

Die Behauptung lässt mehrere wichtige Kontextfaktoren aus, die die Bewertung dieser Reaktionszeit beeinflussen: **1.
The claim omits several important contextual factors that affect how to evaluate this response time: **1.
 Art und Schwere der Sicherheitslücke** Die Sicherheitslücke war zwar ernst, aber nicht unmittelbar ausnutzbar oder betraf nicht alle Geräte.
Nature and Severity of the Vulnerability** The vulnerability, while serious, was not immediately exploitable or affecting all devices.
 Sie erforderte, dass sich Angreifer in Bluetooth-Reichweite eines Geräts mit der älteren Version der App befanden [1].
It required attackers to be in Bluetooth range of a device running the older version of the app [1].
 Die Sicherheitslücke betraf nur Android-Geräte mit COVIDSafe v1.0.17 und früher [1]. **2.
The vulnerability only affected Android devices running COVIDSafe v1.0.17 and earlier [1]. **2.
 Verantwortungsvolle Offenlegung** Die Forscher folgten verantwortungsvollen Offenlegungspraktiken, indem sie die Sicherheitslücke über die DTA meldeten, anstatt sie öffentlich zu enthüllen, was Zeit für eine koordinierte Behebung ermöglichte [2].
Responsible Disclosure Process** The researchers followed responsible disclosure practices, reporting the vulnerability through DTA rather than publicly disclosing it, which allowed time for a coordinated fix [2].
 Ein formales Embargo-Fenster von etwa 28 Tagen wurde eingerichtet (19.
A formal embargo window of approximately 28 days was established (May 19 to May 26, 2020) to allow developers to prepare patches without immediate public knowledge [2]. **3.
 Mai bis 26.
Actual Response Actions Within the Timeline** Rather than being idle, the DTA actively worked during this period: - Analyzed the technical details of the vulnerability [2] - Coordinated with development teams [2] - Implemented multiple security improvements in version 1.0.18, not just a quick patch [3] - The release included changes to contact tracing protocol frequency (from every 2 hours to every 7.5 minutes, reducing exposure time by up to 93%) [3] - Added additional encryption layers for digital handshakes [3] - Provided users the option to remove device names from Bluetooth exposure [3] **4.
 Mai 2020), um den Entwicklern Zeit zu geben, Patches vorzubereiten, ohne sofortige öffentliche Bekanntheit [2]. **3.
Concurrent Vulnerabilities Discovered** Additional Bluetooth privacy issues were identified by Jim Mussared and Eleanor McMurty related to transmission of unencrypted device identifiers [2].
 Tatsächliche Reaktionsmaßnahmen innerhalb der Zeitleiste** Anstatt untätig zu sein, arbeitete die DTA während dieses Zeitraums aktiv: - Analyse der technischen Details der Sicherheitslücke [2] - Koordination mit den Entwicklerteams [2] - Implementierung mehrerer Sicherheitsverbesserungen in Version 1.0.18, nicht nur eines schnellen Patches [3] - Die Veröffentlichung umfasste Änderungen an der Kontaktverfolgungs-Protokollfrequenz (von alle 2 Stunden auf alle 7,5 Minuten, was die Expositionszeit um bis zu 93 % reduzierte) [3] - Zusätzliche Verschlüsselungsschichten für digitale Handshakes wurden hinzugefügt [3] - Benutzern wurde die Option gegeben, Gerätenamen aus der Bluetooth-Exposition zu entfernen [3] **4.
These were addressed concurrently with the CVE-2020-12856 fix. **5.
 Gleichzeitig entdeckte Sicherheitslücken** Zusätzliche Bluetooth-Datenschutzprobleme wurden von Jim Mussared und Eleanor McMurty im Zusammenhang mit der Übertragung unverschlüsselter Gerätekennungen identifiziert [2].
Broader Context of App Development** This was not a simple security patch but a substantial update to the app's core Bluetooth contact tracing protocol.
 Diese wurden gleichzeitig mit der CVE-2020-12856-Korrektur behoben. **5.
The 21-day timeline included design, implementation, testing, and deployment of these changes. **6.
 Breiterer Kontext der App-Entwicklung** Dies war nicht ein einfacher Sicherheitspatch, sondern ein umfassendes Update des Kern-Bluetooth-Kontaktverfolgungsprotokolls der App.
Industry Context for Response Times** Industry standards for critical vulnerability response vary: - CISA (U.S.
 Die 21-Tage-Zeitleiste umfasste Design, Implementierung, Tests und Bereitstellung dieser Änderungen. **6.
Cybersecurity and Infrastructure Security Agency) recommends 15 days for critical vulnerabilities [4] - Standard responsible disclosure windows are typically 90 days from vendor notification to public release [4] - High-risk vulnerabilities typically have 30-day response targets [4] The DTA's 21-day response to a critical vulnerability falls **within industry standards** and actually represents a relatively fast response given the complexity of the fix [4].
 Branchenkontext für Reaktionszeiten** Branchenstandards für die Reaktion auf kritische Sicherheitslücken variieren: - Die CISA (U.S.
Cybersecurity and Infrastructure Security Agency) empfiehlt 15 Tage für kritische Sicherheitslücken [4] - Standardmäßige verantwortungsvolle Offenlegungsfenster betragen typischerweise 90 Tage ab Herstellermeldung bis zur öffentlichen Veröffentlichung [4] - Hochrisiko-Sicherheitslücken haben typischerweise 30-tägige Reaktionsziele [4] Die 21-tägige Reaktion der DTA auf eine kritische Sicherheitslücke liegt **innerhalb der Branchenstandards** und stellt tatsächlich eine relativ schnelle Reaktion angesichts der Komplexität der Behebung dar [4].

Bewertung der Quellenglaubwürdigkeit

**Kritische Feststellung**: Die zitierte ZDNet-Artikel-URL (https://www.zdnet.com/article/dta-fixed-covidsafe-bluetooth-vulnerability-21-days-after-it-was-notified/) kann nicht verifiziert werden und scheint in verfügbaren Archiven oder Suchergebnissen nicht zu existieren [5].
**Critical Finding**: The cited ZDNet article URL (https://www.zdnet.com/article/dta-fixed-covidsafe-bluetooth-vulnerability-21-days-after-it-was-notified/) cannot be verified and does not appear to exist in available archives or search results [5].
 Umfassende Suchen über mehrere Quellen hinweg, einschließlich zwischengespeicherter Versionen und ZDNet's eigenen Archiven, lieferten keine Beweise, dass dieser Artikel jemals veröffentlicht wurde. **Warum das wichtig ist**: Während die zugrunde liegende tatsächliche Behauptung über die 21-Tage-Zeitleiste korrekt ist, schwächt die Abhängigkeit von einer nicht verifizierbaren oder möglicherweise erfundenen Quelle die Glaubwürdigkeit dieses Behauptungseintrags.
Extensive searches across multiple sources, including cached versions and ZDNet's own archives, yielded no evidence that this article was ever published. **Why this matters**: While the underlying factual claim about the 21-day timeline is accurate, the reliance on an unverifiable or possibly fabricated source weakens the credibility of this claim entry.
 Die Behauptung kann tatsächliche Fakten darstellen, verwendet jedoch eine unzureichende Zitierung, die nicht unabhängig verifiziert werden kann. **Zuverlässige Quellen für die tatsächliche Zeitleiste** umfassen: - GitHub-Repository, das die Sicherheitslücke dokumentiert (alwentiu/COVIDSafe-CVE-2020-12856) erstellt von einem der Forscher, die sie entdeckten [2] - iTnews-Berichterstattung über die Behebung [3] - Offizielle DTA-Kommunikationen [3] Diese Quellen bieten verifizierbare Dokumentation der Zeitleiste vom 5. bis 26.
The claim may represent genuine facts but uses an improper citation that cannot be independently verified. **Reliable sources for the actual timeline** include: - GitHub repository documenting the vulnerability (alwentiu/COVIDSafe-CVE-2020-12856) - created by one of the researchers who discovered it [2] - iTnews coverage of the fix [3] - Official DTA communications [3] These sources provide verifiable documentation of the May 5 to May 26 timeline.
 Mai.
⚖️

Labor-Vergleich

**Hat Labor etwas Ähnliches getan?** Durchgeführte Suche: „Labor-Regierung Cybersicherheit Reaktionszeit" und „Australische Regierung Kontaktverfolgung Sicherheitsvorfälle" **Ergebnis**: Die Labor-Regierung hatte gemischte Cybersicherheitsreaktionen: Unter der aktuellen Albanese-Labor-Regierung (seit 2022) erlebte die MyGov-Plattform von Services Australia langanhaltende Sicherheitslücken, die weit länger als 21 Tage anhielten: - Mehr als 10.000 Berichte über MyGov-Kontomissbrauch im Jahr 2024, fast doppelt so viele wie 2023 [6] - Unzureichende Sicherheitskontrollen ermöglichten Kriminellen, legitime Konten mit gefälschten Konten zu verknüpfen [6] - Ein Bericht des Australian National Audit Office (ANAO) im Juni 2024 stellte fest, dass Services Australia auf einen „erheblichen oder meldepflichtigen Cybersicherheitsvorfall" nicht vorbereitet war [6] - Sicherheitsverbesserungen (Passkeys) wurden MyGov erst im Juli 2024 hinzugefügt, nach Monaten steigender Sicherheitsbeschwerden [6] Unter den Rudd/Gillard-Labor-Regierungen (2007-2013) gab es 2011 einen Hackerangriff auf parlamentarische E-Mails, der möglicherweise die Computer von Premierministerin Julia Gillard und anderen Ministern kompromittierte, aber es gibt nur minimale öffentlich verfügbare Informationen über die Reaktionszeitleiste oder den Umfang [6]. **Vergleich**: Die COVIDSafe-Reaktionszeit von 21 Tagen auf eine bekannte Sicherheitslücke erscheint deutlich besser als: - Labors MyGov-Reaktion auf Kontosicherheitsprobleme (Monate, nicht 21 Tage) [6] - Die reaktionsfähigkeit der Regierung insgesamt bei Sicherheitsvorfällen (Der ANAO-Audit fand, dass Behörden nicht vorbereitet waren) [6] Die Reaktion der DTA auf CVE-2020-12856 stellt eine kompetente, branchenübliche Zeitleiste dar und erscheint reaktionsschneller als die Sicherheitsreaktionen der Labor-Regierung bei vergleichbaren Problemen.
**Did Labor do something similar?** Search conducted: "Labor government cybersecurity vulnerability response time" and "Australian government contact tracing security incidents" **Finding**: The Labor government has had mixed cybersecurity responses: Under the current Albanese Labor government (since 2022), Services Australia's MyGov platform experienced prolonged security vulnerabilities that persisted far longer than 21 days: - More than 10,000 reports of MyGov account misuse in 2024, nearly double the 2023 figure [6] - Inadequate security controls allowed criminals to link legitimate accounts to fake accounts [6] - An Australian National Audit Office (ANAO) report in June 2024 found Services Australia was unprepared for "a significant or reportable cyber security incident" [6] - Security improvements (passkeys) were only added to MyGov in July 2024, after months of rising security complaints [6] Under the Rudd/Gillard Labor governments (2007-2013), there was a parliamentary email hack in 2011 that potentially compromised computers of PM Julia Gillard and other ministers, but minimal publicly available information exists about the response timeline or scope [6]. **Comparison**: The COVIDSafe 21-day response time to a known vulnerability appears significantly better than: - Labor's MyGov response to account security issues (months, not 21 days) [6] - Government-wide responsiveness to security incidents (ANAO audit found agencies unprepared) [6] The DTA's response to CVE-2020-12856 represents a competent, industry-standard timeline, and appears more responsive than Labor government security responses to comparable issues.
🌐

Ausgewogene Perspektive

Während Kritiker argumentieren könnten, dass eine Reaktionszeit von 21 Tagen besorgniserregend für eine Sicherheitslücke in einer Gesundheits-App ist, enthüllt eine ausgewogene Bewertung mehrere wichtige Perspektiven: **Die kritische Perspektive:** Kritiker könnten argumentieren, dass jede Verzögerung bei der Behebung einer bekannten Sicherheitslücke in einer weit verbreiteten Gesundheits-App problematisch ist, insbesondere eine, die die Verfolgung von Nutzern ermöglicht [7].
While critics could argue that a 21-day response time is concerning for a security vulnerability in a public health app, a balanced assessment reveals several important perspectives: **The Critical Perspective:** Critics could argue that any delay in fixing a known security vulnerability in a widely-deployed public health app is problematic, particularly one enabling tracking of users [7].
 Kontaktverfolgungs-Apps verarbeiten sensible Gesundheitsdaten, und Sicherheitslücken sollten theoretisch sofort gepatcht werden. **Die operative Realität:** Die Reaktion der DTA spiegelt jedoch verantwortungsvolle Sicherheitspraktiken wider: 1.
Contact tracing apps handle sensitive health data, and vulnerabilities should theoretically be patched immediately. **The Operational Reality:** However, the DTA's response reflects responsible security practices: 1.
 Die Forscher folgten ethischen Offenlegungsprotokollen anstatt öffentlicher Anprangerung [2] 2.
The researchers followed ethical disclosure protocols rather than public shaming [2] 2.
 Die Behebung war nicht ein einfacher Patch sie umfasste die Neugestaltung zentraler Protokollelemente [3] 3.
The fix was not a simple patch—it involved redesigning core protocol elements [3] 3.
 Die Reaktionszeit von 21 Tagen liegt innerhalb der Branchenstandards (CISA empfiehlt 15 Tage; Standardpraxis sind 30-90 Tage) [4] 4.
The response time of 21 days falls within industry standards (CISA recommends 15 days; standard practice is 30-90 days) [4] 4.
 Der koordinierte Offenlegungsprozess verhinderte Ausnutzung während des Fensters, in dem die Behebung vorbereitet wurde [2] 5.
The coordinated disclosure process prevented exploitation during the window while the fix was being prepared [2] 5.
 Die endgültige Veröffentlichung umfasste umfassende Sicherheitsverbesserungen über die notwendige Minimallösung hinaus [3] **Expertenbewertung:** Sicherheitsforscher, die die Sicherheitslücke identifizierten, verurteilten die Reaktionszeitleiste nicht öffentlich.
The final release included comprehensive security improvements beyond the minimum necessary fix [3] **Expert Assessment:** Security researchers who identified the vulnerability did not publicly condemn the response timeline.
 Das GitHub-Repository, das die CVE dokumentiert, scheint mit dem koordinierten Offenlegungsprozess und der Gründlichkeit der Behebung zufrieden zu sein [2]. **Vergleichender Kontext:** Diese Reaktion ist vorteilhaft zu vergleichen mit: - Der aktuellen Labor-Regierung im Umgang mit MyGov-Sicherheit (Monate vs. 21 Tage) [6] - Der globalen Kontaktverfolgungs-App-Sicherheit im Jahr 2020 (viele hatten weit schlimmere Sicherheitslücken, die unbehebt blieben) [8] - Anderen Regierungs-Cybersicherheitsreaktionen über beide Parteien hinweg (typischerweise langsamer) [6]
The GitHub repository documenting the CVE appears satisfied with the coordinated disclosure process and the thoroughness of the fix [2]. **Comparative Context:** This response compares favorably to: - Current Labor government handling of MyGov security (months vs. 21 days) [6] - Global contact tracing app security in 2020 (many had far worse vulnerabilities that went unfixed) [8] - Other government cybersecurity responses across both parties (typically slower) [6]

TEILWEISE WAHR

6.0

von 10

Die tatsächliche Behauptung, dass es 21 Tage dauerte, die Sicherheitslücke zu beheben, ist basierend auf der Zeitleiste (5. bis 26.
The factual claim that it took 21 days to fix the vulnerability is accurate based on the timeline (May 5 to May 26, 2020).
 Mai 2020) korrekt.
However, the verdict is "partially true" rather than "true" for these reasons: 1. **The cited source cannot be verified**: The ZDNet article URL provided does not appear to exist, undermining the credibility of the claim's sourcing [5] 2. **The framing implies culpable negligence**: The claim's phrasing ("took 21 days") suggests unacceptable delays, when the 21-day timeline actually represents a competent, industry-standard response [4] 3. **Context is critical**: The 21 days involved not just fixing a bug but redesigning security protocols, implementing additional protections, and following responsible disclosure practices [2][3] 4. **The vulnerability was known but managed**: This was not an undetected vulnerability discovered by external attackers—it was discovered through responsible research and handled through coordinated disclosure [2]
 Das Urteil ist jedoch „teilweise wahr" und nicht „wahr" aus folgenden Gründen: 1. **Die zitierte Quelle kann nicht verifiziert werden**: Die bereitgestellte ZDNet-Artikel-URL scheint nicht zu existieren, was die Glaubwürdigkeit der Quellenangabe der Behauptung untergräbt [5] 2. **Die Rahmung impliziert verschuldete Nachlässigkeit**: Die Formulierung der Behauptung („dauerte 21 Tage") suggeriert inakzeptable Verzögerungen, während die 21-Tage-Zeitleiste tatsächlich eine kompetente, branchenübliche Reaktion darstellt [4] 3. **Kontext ist entscheidend**: Die 21 Tage umfassten nicht nur die Behebung eines Fehlers, sondern die Neugestaltung von Sicherheitsprotokollen, die Implementierung zusätzlicher Schutzmaßnahmen und die Einhaltung verantwortungsvoller Offenlegungspraktiken [2][3] 4. **Die Sicherheitslücke war bekannt, aber gemanagt**: Dies war keine unentdeckte Sicherheitslücke, die von externen Angreifern entdeckt wurde sie wurde durch verantwortungsvolle Forschung entdeckt und durch koordinierte Offenlegung behandelt [2]

Bewertungsskala-Methodik

1-3: FALSCH

Sachlich falsch oder böswillige Fälschung.

4-6: TEILWEISE

Etwas Wahrheit, aber Kontext fehlt oder ist verzerrt.

7-9: GRÖSSTENTEILS WAHR

Kleine technische Details oder Formulierungsprobleme.

10: KORREKT

Perfekt verifiziert und kontextuell fair.

Methodik: Bewertungen werden durch Abgleich offizieller Regierungsdokumente, unabhängiger Faktenprüfungsorganisationen und Primärquellendokumente bestimmt.

Previous: C0191 Next: C0193