Follow

Das BSI empfiehlt offiziell die Corona-Warning-App zu nutzen. Vergisst dabei allerdings, dass sich Big Brother (Google) auf Android nicht deaktivieren lässt. Also auf Datenschutz verzichten, um sich und andere vor dem Virus zu schützen?

kuketz-blog.de/google-play-ser

@kuketzblog
naja, wer du google play services eh schon hat, kann die App ja nutzen.
Dein Punkt bleibt natürlich trotzdem valide.

@Bubu Jup. Steht auch im Beitrag - für den Durchschnittsnutzer aber relativ unrealitistch.

@kuketzblog
Der Durchschnittsuser läuft aber auch ständig mit wlan an (und evtl sogar gps) durch die Gegend, sodass es dann auch schon wieder fast egal ist... IMHO
@Bubu

@Bubu @kuketzblog Ist zumindest auf meinem Testgerät noch furchtbar instabil mit #microG und damit alles andere als zuverlässig. Aktuell ruft die App keinerlei Daten mehr ab trotz aktivierter Risiko-Ermittlung. Leider macht es einem die Corona-Warn auch nicht leicht, die Fehler zu dokumentieren. 😑

@Calypso1 @CryptGoat @Bubu @kuketzblog @larma
Hallo Marvin, die Leute haben wohl Probleme mit der 4 Wochen altem microG APP. Könntest du die korrigierte Version von microg.org/DL/core-en.apk in das f-droid repo schieben?

@Kurt Hi, Ich wollte heute noch etwas basteln damit die Migration von der alten Datenbank brauchbar gelingt, bei vielen scheint das derzeit nicht zu funktionieren - und es wäre ja schade um die gesammelten IDs der letzten 14 Tage.

@larma ja. Hatte in der Familie auch so einen Fall. Und viel "Lob"

@larma teste grade 0eb75ba. Schaut gut AU's.

@mame82 Ich hab dir mal gleich im entsprechenden issue <github.com/microg/android_pack> erklärt wie es zu den Unterschieden kommt :)

@larma

Sehr cool, vielen Dank!

War mir nicht bewusst, dass Nummerierungen in AIDL (wenn vorhanden) ein offset, statt des transaction codes selbst beschreiben.

Das die Methodennamen für die BINDER_WRITE_READS Schall und Rauch sind war mir bewusst. Ich bin trotzdem erstaunt, dass sie hier mit denen vom Reversing übereinstimmen.

Was mir auch nicht klar ist: wie unterscheidet ihr zwischen exportierten und nicht exportierten Methoden?

@larma

Kontext: Ich habe für ein privates privacy Analyse Projekt BBinder::transact und BpBinder::transact gehookt. Für interface Transactions lese ich dann den Utf16 Interface descriptor aus den (nativem) data Parcel zurück und versuche den transaction code dann dementsprechend wieder in eine "human readable" Form zu bringen (um Rückschlüsse auf privacy relevante Funktionalität zu ziehen und ggF die data/reply Parcels richtig parsen zu können).

...

@larma

Wie du dir sicher denken kannst, ist das für non-public IBinder interfaces nicht so easy. Bestes Beispiel ist GMS (hab damit angefangen um requests nach der ADVERTISING_ID zu loggen).

Microg habe ich leider erst Gestern gefunden

(Und Mastodon habe ich Heute entdeckt, eine Android app wäre hilfreich... bin offen für Empfehlungen)

@mame82

Klingt interessant was du baust, denke für die interfaces von GMS dürfte dir microG eine gute Ressource sein, auch wenn du mal in die data parcels reinschauen willst, viele von den parcelables die darin landen sind in microG schon brauchbar in Struktur gebracht - im Zweifel hilft es vielleicht auch, sich das SafeParcel format anzugucken: <github.com/microg/SafeParcel>, falls noch nicht geschehen ;)

@larma

Yes, das Repo ist Gold Wert für mich ... keine Ahnung wie ihr das alles nachgebaut habt, gigantisch.

Hab gerade schon ein bisschen im code nach "GMSServiceBroker" geschnuppert.

Zwinge mich jetzt aber selbst aufzuhören, sonst gibt es gar kein Wochenende mehr.

Auch die EN Implementierung von dir ist super! Egal wie gut die GAEN apps privacy-seitig sind, der (legacy) GMS Zwang macht das wieder kaputt.

@larma

Habe das ganze mal zu Twitter zurück gespült, Leon Jacobs (Objection Entwickler) dürfte an MicroG interessiert sein.

Wenn SensePost Zeit dafür hat, bekommst du ja vielleicht Feedback zur GAEN Covid App von Süd Afrika

twitter.com/mame82/status/1314

@larma

Marvin, Du hattest recht! Bin Heute direkt über Binder interfaces, welche SafeParcel nutzen gestolpert.

Im Screenshot ein data für ILocationCallbacks.LocationResult.

Aus den Einträgen der 'List<Location>' werde ich schlau, aus dem SafeParcel Teil des LocationResult (rot markiert) aber nicht. Hätte hier eine Art TLV encoding erwartet (gem. der MicroG SafeParcel readme), die Daten sagen mir aber so gar nichts. Der SafeParcel code hat mir auch nicht weitergeholfen

@larma

Nevermind, hab es gefunden.

'SAFE_PARCEL_OBJECT_MAGIC = 0x4F45' und Archite5 vom Testgerät nutzt Little Endian. Jetzt ergibt es auch Sinn. 👍

@Bubu
Hab es am Laufen damit, die nötigen aktuellsten microG-Module waren bis vor kurzem nur über github zu beziehen, sollen aber bald in f-droid kommen.
@kuketzblog

@kuketzblog ich würd aber dennoch sagen das die gesundheit dem Datenschutz überwiegt.

@Tealk @kuketzblog
Ich würde sagen, es muss beides möglich sein. Man kann ja nicht auf der einen Seite über diese Quasi-Monopol als Politiker schimpfen und es dann durch Steuergelder mit solchen Apps zementieren. Ich fände es großartig, wenn man zumindest eine Nachbesserung in Kooperation mit Google und Apple und deren Bluetooth Schnittstellen angehen würde.

@kuketzblog @Bubu
@tommy
@Tealk
Wenn JEDER sich nach besten Wissen schützt, ist alles getan.

@kuketzblog
Gibt ein Projekt, das die App gerade so modifiziert, dass sie unabhängig von Play Services läuft: coralibre

@kuketzblog @Winterstar Ah, scheint laut der build.gradle ab #Android 4.0 zu laufen. Nice.

@kuketzblog
Das ist eine klassischevabwägung zwischen zwei Grundrechten: dem auf körperliche Unversehrtheit und den auf informationelle Selbstbestimmung. Und da die Technik, die die App verwendet, si fehleranfällig ist, dass sie ersteres nicht ausreichend unterstützt, ist nrine Entscheidung klar: Datenschutz überwiegt.

Weiter Argumente contra dies App: digitalcourage.de/blog/2020/co

@JoergSorge
Warum nicht, scheint mir im großen und ganzen Ehrlicher zu sein als die BundeSAPP

@kuketzblog wie du schon sagst, es ist eine Interessenabwägung.
Das Wohl vieler wiegt meines Erachtens mehr als das Wohl des Einzelnen, auch wenn das keine pauschale Gültigkeit hat.

Und wenn wir damit, ähnlich wie mit der AHAL Regel solche Situationen wie zu Beginn dieses Dramas verhindern, dann ist mir temporär auch der BigBrother egal.

@tommy

Die Corona-App sollte doch laut DSGVO diskriminierungsfrei sein, also auch Nutzern zur Verfügung stehen, die Tracker nicht nutzen wollen. Ich habe ein Handy mit LineageOS ohne gAPPS und kann sie nicht nutzen. Fakt.

Ist die Corona-App diskriminierungsfrei? (Ein modernes Handy habe ich ja.)

Daher finde ich die Einschätzung von @Mike Kuketz :mastodon:  valide. Ich empfinde mich auch nicht als Freak, wenn ich gAPPS nicht installiert habe. Wenn ich nun auf mein Recht pochen wollte, auch die Corona-App nutzen zu wollen, was würde ich dann von den Behörden hören? Das ist doch der eigentliche Skandal, dieser selbstverständliche Normierungszwang zur Überwachung. Nicht ich ich müsste mich rechtfertigen müssen, sondern die, die gegen geltende Gesetze verstoßen.

@einervonvielen5679
ich nutze auch Lineage ohne GAPPS. Aber dazu hatte ich ja gar nichts kommentiert.

@meldrian @kuketzblog

Ich meinte das BSI. :ablobwink:

Google hat (zumindet gefühlt) das “Don’t” schon lange vor dem Jahre 2018 ignoriert.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!