Follow

Das BSI tweetet: "Unsere Mitarbeiterin hat auf der eHealth-Konferenz der ENISA über die deutsche berichtet. Die App bietet ein Höchstmaß an IT-Sicherheit und Datenschutz. [...]"

Das ist so richtig, verschweigt allerdings die Problematik, die von ungepatchten Android-Geräten ausgeht. Bluetooth ist je nach Android-Version ein Risiko.

@kuketzblog und das tracking, dass Google Play Services anscheinend machen nicht vergessen!

@kuketzblog das kann das BSI aber - so gerne ich denen auch an den Karre fahre - nicht lösen. Und man sollte so eine App eben auch auf die Geräte bringen, die verbreitet sind (wie diese Schwachstellen überhaupt akzeptiert werden können in diesem Verbreitungsgrad ist das eigentliche Problem). Aber kurz darauf hinweisen mit dem Vermerk "können wir nichts machen. Hersteller kontaktiert" wäre sicher nicht verkehrt.

@koppts @kuketzblog ist Lineage.microg.org vielleicht was für dich? Keine Google spyware aber #CoronaWarnApp kompatibel

@koppts
OK. Bluetooth selber hat seine Schwächen. Wenn die CWA allerdings zwingend Google Play Dienste braucht, dann ist das schon in der Verantwortung der Hoheitlichen. Oder geht's auch ohne?
@kuketzblog

@kuketzblog
Ungepachte Smartphones sind generell ein Sicherheitsrisiko. Aus Sicht des BSI sollten daher eh nur Geräte benutzt werden, die regelmäßig gepatch werden ;-)

@kuketzblog @IsAutonomous Definiere "gepatcht"! Zum Beispiel: Sony Xperia Z3, ein Gerät von 2014 mit Android 4, Sony hat Android bis Version 6 upgedated. Mit LineageOS 17.1 ist das Teil nun bei Android 10 angekommen und erhält wöchentliche Nightlys. Wie (un)sicher ist so ein Gerät (offenen Bootloader ausser Acht gelassen)?

@sulley
LineageOS kenne ich nur vom Namen. Wenn man davon ausgeht, dass die Entwickler in die Nightlys aktuelle Sicherheitspatche einfließen lassen, dann passt es doch. Vorausgesetzt, dass Z3 hat keine Lücken in der Hardware, die nicht vom LineageOS adressiert werden.
@kuketzblog

@kuketzblog Dass die Corona-Warn-App auf proprietäre Google- bzw. Apple-Dienste aufsetzt, erscheint mir als das Hauptproblem. Und es ist ja wohl nicht mal so, dass die Hauptfunktionalität im quelloffenen Code wäre, vielmehr soll ja die App selbst nicht viel mehr als ein Wrapper für Google- oder Apple-Dienste sein.

@mupan @kuketzblog
Aus diesem Grund funktioniert die bei mir erst gar nicht 😔

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!