Follow

Am Dienstag erscheint hierzulande die Corona-Tracing-App. Die App selbst ist quelloffen und überprüfbar. Das gilt allerdings nicht für die API, die Google und Apple bereitstellt. Das Vertrauen in eine Corona-Tracing-App steht und fällt also mit dem Vertrauen in Google und Apple. *badummms*

@kuketzblog Immerhin ist die App überhaupt quelloffen – in der Hinsicht hätte es wesentlich schlimmer kommen können.

@kuketzblog Jupp, ich bin auch schwer begeistert, dass der datenschutz-technisch ordentlichen APP die Google- und Apple-Services untergeschoben werden.

@kuketzblog Da die App nur auf Google oder Apple läuft, hat man die Entscheidung über das Vertrauen bereits getroffen.

@1337core Korrekt. Alternativ Android ohne Google betreiben und die Souveränität über die eigenen Daten behalten. kuketz-blog.de/android-ohne-go

@kuketzblog @1337core Dann hat sich auch die Frage: "Soll ich die App installieren?" direkt erledigt.

@kuketzblog Ist tatsächlich die API für Android nicht quelloffen?

@GerryT Die API ist Bestandteil der proprietären Google Play Services.
@kuketzblog

@norbert @kuketzblog

Danke, sehr interessant. Gibt es da einen technischen Grund, dass es Teil der Google Play Services ist und nicht Teil des AOSP? Oder ist dies eine strategische Entscheidung von Google?

Zweiteres ließe ja Schlimmes erahnen für die Zukunft des Open Source Kerns von Android.

@GerryT Weil so auch die Nutzer älterer Geräte die Funktionen erhalten, die vom Hersteller keine Updates mehr für Android erhalten.
@kuketzblog

@GerryT @norbert @kuketzblog
2. Damit keiner mitkriegt, wo Google und Apple welche Daten abgreifen?

@bushpilot Apple und Google haben schon lange die Daten ihrer Nutzer, die sie haben wollen. Dafür brauchten sie kein Corona.
@GerryT @kuketzblog

@kuketzblog Kann ich diese App a) auch ohne Datentarif und b) mit eingeschränktem Datentarif (.z.B. nur für Messenger) nutzen?

@oldie @kuketzblog an sich braucht sie nur Zugang zum Abgleich. Daher sollte es ausreichen wenn die App gelegentlich (sprich ein- oder zweimal täglich) Zugang zum Netz bekommt.

Hat aber nichts mit dem hier geschilderten Problem zu tun (Android: Play Services installiert haben; iOS/iPadOS: iOS und iPadOS).

@oldie @kuketzblog Die App baut regelmäßig Internetverbindungen auf. Es kann Traffic von monatlich 1 GB entstehen. Tarfischonend ist sie definitiv nicht.

@kuketzblog @quantumwave Deine Antwort geht leider nicht konkret auf meine Fragen ein. Könntest Du deshalb a) und b) jeweils konkret beantworten?

@kuketzblog Wie kann ich mir eigentlich sicher sein, dass der offengelegte Code tatsächlich dem entspricht, mit dem die App im Apple-App-Store kompiliert wurde?

@norbert @kuketzblog Tut sie das? Ich habe leider von App-Entwicklung keine Ahnung. Soweit ich aber weiss, ist das prüfen dann bei iOS trotzdem nicht so einfach und ohne Jailbreak gar nicht möglich, oder?

@m0urs Ob die Corona App Reproducible Builds unterstützt habe ich aus der Doku eben auf die Schnelle nicht rauslesen können. Aber Du hast wohl Recht, das scheint man nur auf einem #iOS Gerät mit Jailbreak wirklich verifizieren zu können. @kuketzblog

@m0urs @kuketzblog Berechtigte Frage, doch solange geschlossene Libs von Apple bzw. Google verwendet werden, ist dieser Punkt von eher untergeordneter Bedeutung.

@pvoigt @kuketzblog Ich setze mal meinen Aluhut auf :-) Was wäre, wenn sich unsere Polizei- und Nachrichtendienste die einmalige Chance nicht entgehen lassen könnten, mit der Corona-App huckepack den Bundestrojaner mit einem Schlag auf viele Millionen Smartphones frewillig installiert zu bekommen? Das wäre jetzt doch DIE Gelegenheit ;-) Da traue ich zumindest Apple noch mehr, und notfalls auch Google ;-)

@kuketzblog Ein weiterer Haken ist leider auch die Infrastruktur, in der die Daten landen. Die Weiterverarbeitung ist ebenfalls nicht ausgeschlossen.

@simsalabim @kuketzblog
Was ist denn da konkret deine Angst? Die Daten sind derart anonymisiert, dass die App gerade so eben tun kann, was sie soll. Deshalb wurde ja so für den "dezentralen Ansatz" gekämpft.

@extarv @kuketzblog Sobald dein Handy Verbindungen zu Servern aufbaut, lässt es sich deanonymisieren. Lies dich mal hier ein, ist komplex: forum.kuketz-blog.de/viewtopic

@simsalabim
@kuketzblog

Das stimmt. Gilt aber für jedes verteilte System. Die Kritik, die im Blogbeitrag geäußert wird, ist da weitaus konkreter und damit auch hilfreicher, staatlich finanzierte Softwareentwicklung zu verbessern. Und bei all der Kritik: Es ist bisher bei der Entwicklung dieser App verdammt viel deutlich besser gelaufen, als in der Vergangenheit.

@extarv

Was ist wenn die Google play Dienste alle Daten an Google sendet?
Wird vermutlich nicht gemacht werden. Aber was ist wenn? Was kann man damit anfangen, trotz dezentralen Ansatz. Ich vermute eine ganze Menge...

@simsalabim @kuketzblog

@jedie @extarv @kuketzblog Das ist ja genau das, was Mike zu bedenken gibt. Eine App kann so sicher sein wie sie will - wenn sie auf den APIs von Google und Apple aufsetzt, ist das nichts mehr wert. Da closed source, wissen wir eben nicht wie die Schnittstellen gestrickt sind.

@jedie
@simsalabim @kuketzblog

Das hat aber nichts mit der App zu tun, diese Daten könnten Google und Apple ohnehin sammeln. Das ist nicht gut! Aber der Staat selbst hat vor allem Zugang zu den Daten, die die App selbst erhebt. Und mit denen kann er nicht viel anfangen. IP Tracking und Co sind ein anderes Thema, das die IT bis heute nur sehr eingeschränkt lösen kann.

@kuketzblog Wer allerdings ein Smartphone mit (Google) Android bzw. iOS nutzt, hat dieses Vertrauen bereits gegeben. Insofern ist das kein gültiges Argument für die meisten Leute, die App nicht zu installieren.

@antonius Korrekt. Alternativ Android ohne Google betreiben und die Souveränität über die eigenen Daten behalten. kuketz-blog.de/android-ohne-go

@kuketzblog ist mir bewusst, halte ich auch für eine sehr gute Idee.

Ich bin allerdings der Meinung, dass man dieses Thema nicht mit der Corona-Warn-App vermischen sollte. Das trifft den Punkt nicht so richtig.

@antonius Ein bisschen hängt es aber schon zusammen. Denn wenn man sich für ein entgoogeldes Android entschieden hat, lässt sich die App überhaupt nicht nutzen. Wer sich also für Selbstbestimmung und Freiheit entscheidet, der bleibt außen vor. Abwarten ob microG eine alternative Schnittstelle bieten wird.

@kuketzblog Den Punkt sehe ich auch. Ich finde es auch sehr bezeichnend, wie Google und Apple durch ihre enorme Marktmacht den Lösungsansatz vorgeben konnten. Solche Entscheidungen müssen demokratisch kontrollierbar sein. (Auch wenn ich den gewählten Ansatz in diesem Fall befürworte)

Die Frage wie die Stellung von Google und Apple bei mobilen Betriebssystemen aufgelöst werden kann, stellt sich auf jeden Fall. Als Argument gegen die Corona-Warn-App taugt sie eher nicht.

@kuketzblog Und natürlich ist es kritikwürdig, dass die nun entwickelte Lösung eine Nutzung von Apple- oder Google-eigenen Betriebssystemen erzwingt.

Ein Angebot von staatlicher Stelle sollte mit freier Software funktionieren und nicht die Nutzung proprietärer Software voraussetzen.

@jedie Was MicroG unter der Haube macht, ist bestimmt keine einfache Sache. Ausserdem ist der Hauptentwickler von MicroG auch Hauptentwickler des XMPP Client Dino. Dazu braucht man viel Zeit. Aber ich denke, ein Corona API wird nicht kommen. @kuketzblog @antonius

@kuketzblog @antonius

Oder ob gar Portierungen für Lineage OS, /e/ etc. erscheinen werden.

@antonius @kuketzblog Vertrauen für etwas bestimmtes (hier: dass mit den Google-Play-Services nicht allzuviel Böses getan wird und nicht ohne Zustimmung Daten rausgetragen werden) bedeutet nicht Vertrauen für alles (oder hier speziell: dass mit den mit Zustimmung rausgetragenen Daten angemessen umgegangen wird).

@kuketzblog
PEPP-PT hätte uns gezwungen der Bundesregierung und den Serverbetreibern in Deutschland zu vertrauen. Jetzt brauchen wir nur noch Google, Apple, NSA und amerikanischer Regierung zu vertrauen. Da können doch bitte die ewigen Kritiker mal endlich aufhören zu meckern!

@gitanguero Die App würde auch bei PEPP-PT in den allermeisten Fällen auf Geräten von Google und Apple laufen, von denen du nicht weißt oder kontrollieren kannst, was sie alles im Hintergrund auf den Geräten treiben.
@kuketzblog

@norbert
Das ist leider völlig zutreffend. Vom 'Durchschnittsuser' bekäme Google auch mit der jetzigen CWA wahrscheinlich eh keine Informationen, die sie nicht schon haben...
@kuketzblog

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!