Follow

Für die Corona-Tracing-App ist ja eine aktualisierte Version der Google Play Services notwendig. Diese Blackbox wurde nun mal von Forschern aus Dublin untersucht. Die Version der Play Services sendet alle 20 Minuten an Google:
- IP-Adresse
- IMEI des Geräts
- Hardware Seriennummer
- SIM-Karte Seriennummer
- Telefonnummer
- E-Mail-Adresse
- Nutzerstatistiken von Apps

Und jetzt ratet mal, weshalb ich so skeptisch war und darauf im Vorfeld immer wieder hingewiesen habe...

scss.tcd.ie/Doug.Leith/pubs/co

@kuketzblog Als Ergänzung: Das ist kein Corona-Warn-App-Bashing. Es kann aber nicht sein, dass eine App auf solch eine zentrale Komponente angewiesen ist, die die Nutzer im Hintergrund so ausspioniert. Ein Opt-Out davon ist nicht möglich.

Show thread

@kuketzblog vielleicht solltest Du noch deutlicher machen, dass das der Play-Service immer macht und das nichts direkt mit der Corona-Tracing-App zu tun hat!

Trotzdem ein Grund mehr, endlich mehr Druck zu machen (auch auf die Regierung), dass diese Abhängigkeit abgeschafft wird.

@favstarmafia @kuketzblog Dito!

Mit der #CoronaWarnApp hat das ja genauso viel oder wenig zu tun wie mit jeder anderen App aus dem Google Play Store.

@kuketzblog vermutlich tief in den Nutzungsbedingungen versteckt von allen Nutzern zwangsakzeptiert.
Zerschlagen diese Datendiktatur...

@kuketzblog Es ist vor allem schade, dass Leute die kein Google Play installiert haben auf die Warn-App verzichten müssen.

@fredi15t @kuketzblog Ja, das ist leider wahr. Es gab ja tatsächlich sogar ein Projekt auf github, um das Problem zu lösen. Weiß leider nicht was daraus geworden ist bzw. habe dazu nichts mehr gehört in letzter Zeit.

@Pfohlmann Die App ist OpenSource. Du kannst sie dir auch für Lineage kompilieren und auf Fdroid stellen.
Wenn die API dort nicht existiert, ist das nicht die Schuld der App, sondern des Betriebssystems

@joman @Pfohlmann

Natürlich ist es schuld der App, auf eine API zu setzten, die nur existiert, wenn man sich proprietären Kram installiert, der dann oben genannte Daten zu Google schickt.

@ashimokawa @Pfohlmann Es gab vor 3 Monaten nicht eine einzige funktionierende API, die zu Kontakt-Tracing geeignet war. Danach haben Google und Apple entsprechende APIs für ihre Betriebssysteme entwickelt...

Das hätte Lineage auch machen können

@kuketzblog @Bobo_PK Dann bitte doch den Herstellern deines Betriebssystems, die entsprechende API bereit zu stellen.
Die Corona Warn App basiert nicht auf dem Play Store, sondern auf der API für Bluetooth LE, die kann jedes Mobile Betriebssystem auch bereit stellen, wenn entsprechende Hardware verbaut ist.

@joman nein, man braucht zwingend die google play services. auf android-handys ohne google-apps funktioniert sie nicht.

@kuketzblog @Bobo_PK

@felix Jop, Weil Google die API entwickelt hat und nur seinen direkten Benutzern zur Verfügung stellt. Linage ist doch OpenSource, warum hat da noch keiner eine Alternative entwickelt?

Man könnte ja auch google bitten, das umzusetzen.
Wenn man das dann nicht mit Daten bezahlen will, muss man halt Geld zahlen. Softwareentwicklung ist nicht kostenlos

@joman @felix Sowas hätte der Staat vor Veröffentlichung dieser App sicherstellen müssen...

@raketenlurch @felix Nö, der Staat hat die Lösung genommen, die eine maximale Verbreitung für verhältnismäßige Kosten ermöglicht.
Und die Mehrzahl aller Kunden benutzt Google-Android oder iOS.
Eine Eigenentwicklung wäre Steuerverschwendung

@raketenlurch Insbesondere, da die App ja keine wirkliche Schutzausrüstung ist, sondern nur die Arbeit der Behörden erleichtern soll und somit den Reaktionsfähigkeit verbessern kann

@joman @raketenlurch
So wie er die in Restaurants hinterlegten Daten nur an die Gesundheitsämter gibt... Wer einmal lügt dem glaubt man nicht...

@joman
1. Google/Apple haben quasi alles von anderen Open-Source Projekten übernommen (z.B. DP-3T).
2. Im Falle von Android ist die API nicht Teil des Betriebssystems, sondern der Google Play Services. Das ist nicht das gleiche.
3. Die Corona-Apps haben eine Routine eingebaut, die prüft, dass es die Original Play Services sind. LineageOS *kann* gar nicht ohne weiteres eine Alternative in ihr Betriebssystem bauen. Und wegen dieser Prüfung ist Kritik an den Corona-Apps auch gerechtfertigt.

@larma
1. Warum gibt es dann keine offene implementierung, wenn das schon vorher OSS war?
2. Ist auch ihr gutes Recht, das so zu machen.
3. Is ja nicht so, dass man das nicht auch wieder raus patchen kann, oder besser die Routine so erweitern, dass auch andere funktionierende APIs akzeptiert werden. Man wird das APK für fdroid eh neu bauen müssen

@larma Klar wäre es wesentlich schöner gewesen, wenn Google die API direkt in AOSP eingebaut hätte, aber dann hätte jeder Hardware Hersteller erst das Release freigeben müssen.

Den Anspruch, dass es auf komplett exotischen Systemen funktionieren muss (in Bezug auf Verbreitung), finde ich aber komplett daneben. Insbesondere die Verantwortung nicht beim Entwickler des eigenen Systems zu sehen, sondern bei denne, die es selbst ja geschafft haben

@joman
Ich stimme dir zu, hätte Google die API so gebaut, dass sie sowohl in Play Services als auch in AOSP existiert und die Apps nicht an play services geknüpft werden müssen.

Dann hätten alle "normalen" Nutzer über Play Services das Update bekommen und die Hersteller von exotischen Alternativsystemen wären verantwortlich den Source-Code aus AOSP auf Ihre Geräte zu packen (hätte LineageOS sicherlich gemacht).

@larma Dafür hätte google einen Teil der Arbeit unbezahlt doppelt machen müssen.

Und Verantwortung tragen sie eigentlich nur für Ihre eigenen (Play Services) Nutzer

@joman Nein, es wäre nicht doppelter Aufwand gewesen, die Implementierung hätte ja genau die gleiche sein können (beides ist in Java geschrieben).

Und selbst wenn es doppelter Aufwand wäre, Google hat ihn ohnehin gemacht: github.com/google/exposure-not enthält die entscheidenen Teile des Codes aus den Play Services in angepasster und aufbereiteter Form, um daraus eine standalone App zu bauen. Nur können halt die ganzen Corona-Apps damit nichts anfangen, die benutzen ja die play services API.

@joman
1. Gibt es. DP-3T Implementierung gab es sogar schon bevor Google/Apple ihre API veröffentlicht haben.
2. Klar, aber dann ist Kritik diese API zu nutzen aber auch gerechtfertigt.
3. Eine gepatchte Version der CWA App darf laut EULA nicht die Infektionsschlüssel vom offiziellen CWA Server laden und wäre somit praktisch unbrauchbar. Ref §9 "Was nicht erlaubt ist" coronawarn.app/assets/document

@larma @joman marvin, hast du eine idee, wie und was bei den Google play services zu blockieren ist, damit die #coronawarnapp noch funktioniert, aber Google mich nicht trackt?

@Kurt Das hängt von deinem Setup ab. Wenn du Play Services in deiner Firewall blockierst nachdem du die CWA eingerichtet hast, könnte das funktionieren. Ich nehme an, dass Play Services die whitelist für die Apps, die die EN API nutzen dynamisch abfragt, aber danach sollte kein Internetzugang mehr notwendig sein.

@joman Weshalb machen die Programmierer der App das nicht? Sie haben 20 Mio für die Entwicklung bekommen, dann sollen sie die gefälligst auch so schreiben, dass sie unsere Grundrechte respektiert.
@felix

@kirschwipfel @felix Weil da die 20Mio nicht ansatzweise für reichen würden, ne hardwarespezifische API innerhalb von nem Monat zu bauen, die danach auch noch qualitativ Hochwertig ist (Code Qualität, Architektur und Testabdeckung)

@kuketzblog fairerweise muss man sagen das der durchschnittliche Nutzer auch alle 20 Minuten seine ip an telegram, whatsapp, facebook/$fediserver, wetter app provider, news provider (falls widget oder so angemacht ist) schickt...
Halt alle apps mit long pull statt aktivierung via google cloud messages oder das apple equivalent

@kuketzblog Ich hab nur mal kurz ins PDF geschaut. Und da geht es zwar um Covid, aber das eigentliche ist doch das Google Play Services alle 20 Min diese Daten schickt. Auch wegen firebase code im Goog. Pla. Stor.

Bei einem normalen Google Phone Nutzer ist die Covid App aber kein Problem, sondern nur das sie ohne opensource oder Kerneltreiber NICHT geht.. Man sollte einfach offline ohne Simcard und im Flugmodus mit einem alten Telefon sein Contact tracing machen...

@kuketzblog Im PDF wird am Ende für alle F-Droid Nutzer empfohlen diese Play Services mit Blokada oder Netguard zu blocken.

Eigentlich schade das dies so wenige umsetzen.

@christal @kuketzblog hast du mehr als das? "...for example, install a firewall on
their handset and configure it to block inappropriate connections
by Google Play Services. While such firewalls are not
available on Google Play Store, open source firewalls such
as Blokada [25] and NetGuard can be obtained from app
stores such as F-Droid [26]. More work is, however, needed to
confirm the compatibility of such firewalls with contact tracing
apps."

@Kurt @kuketzblog Ich denke diese Mehrarbeit, bezieht sich auf andere EU Contact Tracing apps. Das DE Modell, funktioniert ja dezentral. Daher ist das Risiko eher gering.

Zudem ist von der DE App ja auch der Quellcode da, das könnte man sich mal anschauen.

Alternativ macht man es wie beim Desktop, alles blocken und Stück für Stück frei schalten. Ist bei Webseiten mit Addblockern und Scriptblockern ja auch so. Da ist die Funktion eingeschränkt. Bis die perfekte Lösung gefunden ist.

@kuketzblog Und die alte Version der Play Services hat das nicht gemacht?

@kuketzblog oh, es wird schon tausendfach auf Deinen Beitrag verwiesen. Die Gegner der Corona-App teilen ihn fleißig, über Facebook. Die Reaktionen reichen von Bestürzung, Enttäuschung bis hin zur Wut.
Gratuliere, Du hast mit Sicherheit viele erreicht, sie werden diese Corona-App nun gnadenlos von ihrem Handy entfernen. Und, konsequenterweise ihren ganzen Bekanntenkreis (über Whatsapp) davor warnen. Gut gemacht!

@wbo
Gut so, wen sie das machen.
Denn Die WarnApp gewöhnt Menschen daran, ständig beobachtet zu werden. (auch "überwacht" genannt)

digitalcourage.de/blog/2020/co

@kuketzblog

@wbo @kuketzblog Wenn die eh fb und somit wa nutzen ist das ja kein Verlust. Auch für Google nicht weil die den Playstore weiter nutzen. Lediglich für die Corona App Nutzer, wenn sie sich anstecken.

Aber da mach ich mir auch keine Sorgen, weil es schon viele leugnen, dank SM und YT Verschw.-T. Gibt. das es den Braten nicht fett macht. Einfach Abstand halten... zu diesen Menschen.

@einervonvielen5679 ich denke nicht, dass er deine Antwort lesen konnte, aber das war eine ganz normale kleine Diskussion und eigentlich ist es ja auch schon längst vorbei.

@kuketzblog
Ich frag mich generell warum alle noch an Google hängen und sich keiner dafür interessiert was sie mit den Daten machen?

@glittergirl
Gewöhnung.

Das Buch 'Zeitalter des Überwachungskapitalusmus' von Shishana Zuboff erklärt es sehr schön
@kuketzblog

@Fotoente
Kapitalusmus hat Meme-Potential 😆

Ansonsten: Gewöhnung und leider auch Gleichgültigkeit (vergl. Klimakrise, Maskenpflicht & Abstandsregeln).
@glittergirl @kuketzblog

@Billie "Kapitalusmus" für den kleinen Kapitalismus zwischendurch :mastozany:

Scheiß Tipp-Fehler 😅

@Don di Dislessia :anxde: Meinst Du, er sieht meinen Kommentar nicht? Hmm,

Ich glaube, ich habe den Kommentar von @Wladimir Borkow falsch interpretiert und dachte, das "Gut gemacht!" wäre ironisch, also im negativen Sinne gemeint. Blödes Missverständnis.

@einervonvielen5679 Ich habs so gelesen das es zwar negativ gemeint war. Es ist blöd wenn weniger die App nutzen. Aber da kann nur der Überwachungskapitalismus was für und nicht kuketz, wenn überhaupt. Das reißerische an dem Post und da hatte er recht, war ja der Facebook Vergleich... ist halt so. Schöne neue Datenwelt. Sich nicht um seine Privatsphäre kümmern finde ich so schlimm wie anderen harte Drogen zu geben und sich zu wundern warum es den kleinen schlecht geht..

@kuketzblog ich muss rausfinden wie ich mir /e/OS oder ubuntu installiere...

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!