1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › Apple & Google: Quellcode des…

Exposure Notification Internals

  1. Thema

Neues Thema Ansicht wechseln


  1. Exposure Notification Internals

    Autor: sevenacids 23.07.20 - 15:13

    "This repository contains snippets of code that show how the Exposure Notifications API works inside the Google Play services layer."

    Also "snippets of code" klingt für mich nicht danach, als wäre die Veröffentlichung vollständig und würde den kompletten Code enthalten. Das muss ich mir später mal genauer ansehen.

    Ansonsten ist diese ganze Open Source-Geschichte ein zweischneidiges Schwert, denn es steht und fällt mit dem Vertrauen, dass das, was dort offengelegt wird auch wirklich das ist, was am Ende in kompilierter Form bereitgestellt und ausgeführt wird. Das gilt neben dem Code für die API vor allem für das Server-Backend, das man so nicht überprüfen kann und die Frage, ob dort nicht doch Daten erfasst, gespeichert und in Relation gesetzt werden, die so eigentlich nicht erhoben werden sollten. Beispielsweise die IP-Addresse beim Übermitteln der IDs.

    Hinzu kommt unter Android der Zwang zu den Location Services, die aktiviert sein müssen. Mag auch die Corona-App dies nicht zum Tracking nutzen, jede andere auf dem System installierte App erhält damit die Lizenz zum Datensammeln.

    Ansonsten ein Tipp für Android-Nutzer: Die Exposure Notification API lässt sich über die Entwickleroptionen zumindest temporär (bis zum nächsten Play Services-Update oder Neustart) abschalten. Unter "Aktive Dienste" stoppt man einfach unter "Google Play Services" den "ExposureMatchingService".

  2. Re: Exposure Notification Internals

    Autor: norodondt 23.07.20 - 15:40

    Mal eine ehrliche Frage...

    Wer glaubt denn, dass zur totalen Überwachung der Staat oder Google und Apple sowieso) eine Corona-App nötig hat?

    95% der Smartphone Nutzer nutzen iOS oder alle Google Dienste - wer da überwachen möchte, der tut es doch längst.

    Wir wissen seit Edward Snowden, was abgeht. Mir kommt die Diskussion über "kann ich DIESER APP und DIESER API jetzt vertrauen?" da extrem komisch vor.



    1 mal bearbeitet, zuletzt am 23.07.20 15:40 durch norodondt.

  3. Re: Exposure Notification Internals

    Autor: skyandsand 23.07.20 - 15:53

    Ich kann deine Bedenken teilweise verstehen, aber wer sagt, dass die Hersteller nicht schon vorher solche oder so ähnliche Überwachungssysteme implementiert hatten?
    Ich möchte gar nicht sagen, dass es so ist. Sondern nur, falls du bisher schon deinem Handy Hersteller vertraut hast, es keinen Grund gibt, dies aufgrund der neuen API jetzt nicht mehr zu tun.

  4. Re: Exposure Notification Internals

    Autor: dododo 23.07.20 - 15:53

    sevenacids schrieb:
    --------------------------------------------------------------------------------
    > Hinzu kommt unter Android der Zwang zu den Location Services, die aktiviert
    > sein müssen. Mag auch die Corona-App dies nicht zum Tracking nutzen, jede
    > andere auf dem System installierte App erhält damit die Lizenz zum
    > Datensammeln.

    Das ist so nicht richt. Zum einen benötigen andere auf dem System installierte Apps immer noch selbst die Standortberechtigung, unabhängig davon ob du die Standortdienste an oder ausgeschaltet hast.
    Zum anderen hat Google das mit den Standortberechtigungen relativ früh nach dem erscheinen der deutschen Corona App nochmal angepasst, die Corona App selbst benötigt keine Standortberechtigung mehr und man wird auch nicht mehr danach gefragt. Auch die Standortdienste können wohl ausgeschaltet werden, zumindest mekert die App bei mir nicht mehr wenn ich das tue, lediglich bei deaktivierten Bluetooth erhalte ich einen Hinweis daß das die Kontaktverfolgung ohne nicht geht.

  5. Re: Exposure Notification Internals

    Autor: McWiesel 23.07.20 - 16:27

    norodondt schrieb:
    --------------------------------------------------------------------------------
    > Mal eine ehrliche Frage...
    >
    > Wer glaubt denn, dass zur totalen Überwachung der Staat oder Google und
    > Apple sowieso) eine Corona-App nötig hat?
    > 95% der Smartphone Nutzer nutzen iOS oder alle Google Dienste - wer da
    > überwachen möchte, der tut es doch längst.

    Man sollte hier mal klar definieren, was überwachen ist.
    Der klassische Verschwörungsphantast geht natürlich davon aus, dass wenn er dank einer falschen Verdächtigung sich plötzlich im Blacksite-Verhörzimmer wiederfindet und ihm nun sein gesamter Standortverlauf präsentiert wird, der dank der Corona-App nun allen Geheimdiensten bekannt ist. So irgendwie müssen ja die kruden Gedanken der Überwachungsparanoiker sein, die in der Corona-App nur ein neues Spionagetool vermuten.
    Und selbst wenn es so wäre: Weil er durch seine Verfolgungs-Psychose so anonym und unnachverfolgbar wie möglich lebt und sich damit allein schon extrem verdächtig macht, kann er kaum eine Anschuldigung stichhaltig widerlegen, die ihm an den Kopf geworfen wird. Wer hingegen normal lebt, hat von der Kreditkartenzahlung am Morgen bis zum Social-Media-Post am Abend für jeden Tag unzählige Gegenbeweise in der Hand, die die Anschuldigungen entkräften und z.B. eine Verwechslung belegen können.


    > Gerade die Übermittlung von Standortdaten

    Sind extrem sinnvoll, sei es für die Verkehrsführung oder die Steuerung von Besucherströmen bei Veranstaltungen. Das trägt massiv zur Ressourcenschonung und Umweltschutz bei. Und wenn das endlich mal perfektioniert werden dürfte, könnte es täglich Leben retten, in dem man z.B. vor entgegenkommenden Fahrzeuge und erstrecht vor Falschfahrern auf einer unübersichtlichen Straße gewarnt wird.

    > Wir wissen seit Edward Snowden, was abgeht. Mir kommt die Diskussion über
    > "kann ich DIESER APP und DIESER API jetzt vertrauen?" da extrem komisch
    > vor.

    Mir kommt diese ganze Diskussion enorm komisch vor. Die Ermittlungsbehörden brauchen ausschließlich die Blödheit der Leute zu nutzen, ganz wenig social Engineering zusammen mit einfachsten technischen Mitteln (z.B. wie gestern bekannt geworden Überwachung von WhatsApp Web) reicht vollkommen aus um an alle Informationen zu kommen, die ein Geheimdienst benötigt.
    Diesen abartig technischen Aufwand, den Snowden da beschreibt, ist doch einfach lächerlich. Und heute wäre der aufgrund der allgemeinen Verschlüsselung noch gigantischer. Das braucht wirklich kein Geheimdienst. Wie wenig da geht, sieht man ja schon an dem öffentlichen Gejammere bei Apple, wenn Ermittlungsbehören an einem gesperrtem iPhone scheitern. Das wollten sie sicher nicht entsperren, wenn sie eh durchs Backend Vollzugriff hätten.

  6. Re: Exposure Notification Internals

    Autor: norodondt 23.07.20 - 17:02

    An die Verschlüsselung hatte ich noch gar nicht gedacht.

    Seit Jahrzehnten wird prophezeit, dass das Ende kommt, weil die Behörden unsere Daten haben.
    Nicht falsch verstehen: Datensparsamkeit unterstütze ich ;)


    Und das mit WhatsApp... ich kenne Leute die über TikTok fleißig kundtun, dass sie niemals die Warn-App installieren würden... weil das ja Daten preisgibt.

    *Kopfkratz*

  7. Re: Exposure Notification Internals

    Autor: norodondt 23.07.20 - 17:03

    Amen.

  8. Re: Exposure Notification Internals

    Autor: wurstdings 23.07.20 - 17:56

    McWiesel schrieb:
    --------------------------------------------------------------------------------
    > Man sollte hier mal klar definieren, was überwachen ist.
    Ein System oder Mensch protokolliert bestimmte Daten (Bewegungsprofile, Metadaten, Nachrichten/Gespräche) über einen gewissen Zeitraum. Dein Wikipedia ist kaputt oder?
    > Der klassische Verschwörungsphantast geht natürlich davon aus, dass wenn er
    > dank einer falschen Verdächtigung sich plötzlich im Blacksite-Verhörzimmer
    > wiederfindet und ihm nun sein gesamter Standortverlauf präsentiert wird,
    > der dank der Corona-App nun allen Geheimdiensten bekannt ist.
    Das ist der Schritt nach der Überwachung.
    > So irgendwie
    > müssen ja die kruden Gedanken der Überwachungsparanoiker sein, die in der
    > Corona-App nur ein neues Spionagetool vermuten.
    Oder die verfolgen die Politik und Nachrichten länger als seit einem Tag und haben daher berechtigte Zweifel an der Vertrauenswürdigkeit von Staat, Polizei und Geheimdiensten.
    > Und selbst wenn es so wäre: Weil er durch seine Verfolgungs-Psychose so
    > anonym und unnachverfolgbar wie möglich lebt und sich damit allein schon
    > extrem verdächtig macht, kann er kaum eine Anschuldigung stichhaltig
    > widerlegen
    Weshalb man ja auch nicht einfach nur Behauptet, dass Jemand schuldig ist, sondern dass auch beweisen muss und nicht umgekehrt seine Unschuld beweisen muss.
    Wo kommen wir da hin, wenn ich dich als Vergewaltiger beschuldige und du dann mit deinem Telefonverlauf versuchst deine Unschuld zu beweisen?
    > Wer hingegen normal lebt,
    Dann darfst du an dieser Stelle gerne mal "normal leben" definieren, ich bin gleich mit ner Tüte Popkorn zurück ...
    > hat von der Kreditkartenzahlung am Morgen bis zum Social-Media-Post am
    > Abend für jeden Tag unzählige Gegenbeweise in der Hand, die die
    > Anschuldigungen entkräften und z.B. eine Verwechslung belegen können.
    Also diese "Ich habe nix zu verbergen" Typen kommen jeden Tag mit noch krasseren Ideen um die Ecke. Wenn du freiwillig dein Privatleben der ganzen Welt zur Verfügung stellen möchtest hindert dich daran doch keiner, warum aber müssen das alle Anderen auch machen?

    Wenn jemand weiß, welchen Weg du morgens zur Arbeit nimmst (die Polizei hat kein Problem mal kurz illegale Abfragen zu mache, wenn du zu links bist) und dich beschuldigt unterwegs nen Verbrechen beganngen zu haben, dann zückst du dein Handy und schwupps biste im Kerker.
    > > Gerade die Übermittlung von Standortdaten
    > Sind extrem sinnvoll, sei es für die Verkehrsführung oder die Steuerung von
    > Besucherströmen bei Veranstaltungen. Das trägt massiv zur
    > Ressourcenschonung und Umweltschutz bei.
    Beweis durch Behauptung, genialer Schachzug.
    > Mir kommt diese ganze Diskussion enorm komisch vor. Die Ermittlungsbehörden
    > brauchen ausschließlich die Blödheit der Leute zu nutzen, ganz wenig social
    > Engineering zusammen mit einfachsten technischen Mitteln (z.B. wie gestern
    > bekannt geworden Überwachung von WhatsApp Web) reicht vollkommen aus um an
    > alle Informationen zu kommen, die ein Geheimdienst benötigt.
    Halt stopp, eben willst du uns erzählen wie vertrauenswürdig der Staat doch ist und der erzählt uns regelmäßig, dass er noch mehr Grundrechtseinschnitte für noch mehr Überwachung braucht um die ganzen Internetverbrecher, Terroristen und Kinderschänder zu fangen und auf einmal ist das garnicht wirklich nötig weil ja WhatsApp reicht?
    > Diesen abartig technischen Aufwand, den Snowden da beschreibt, ist doch
    > einfach lächerlich.
    Umso schlimmer das er betrieben wird.
    > Und heute wäre der aufgrund der allgemeinen
    > Verschlüsselung noch gigantischer.
    Welche allgemeine Verschlüsselung?

  9. Re: Exposure Notification Internals

    Autor: McWiesel 23.07.20 - 21:23

    > Ein System oder Mensch protokolliert bestimmte Daten (Bewegungsprofile, Metadaten, Nachrichten/Gespräche) über einen gewissen Zeitraum. Dein Wikipedia ist kaputt oder?

    Ja und nichts davon macht die Corona-App.

    > Das ist der Schritt nach der Überwachung.

    Nein, das ist Stoff für eine Dystopie aus Hollywood. Es sei denn man schafft es wirklich dem Staat und der Gesellschaft so zu schaden, dass man sich eben zum Ziel von sowas macht. Bei jeder Polizeikontrolle, Einreise oder was auch immer wurde ich immer in Sekundenschnelle durchgewunken, während andere da komischerweise immer wieder Stress mit haben.

    > Oder die verfolgen die Politik und Nachrichten länger als seit einem Tag und haben daher berechtigte Zweifel an der Vertrauenswürdigkeit von Staat, Polizei und Geheimdiensten.

    Ich empfehle dringend das Auswandern, wenn man dem Staat nicht mehr vertraut. Das ist sonst so ähnlich wie mit einer Frau zu leben, der man nicht mehr vertraut. Und wieder frage ich mich, wie man so in Konflikt mit dem Staat kommen kann. Ja, ich ärgere mich auch über viele Zustände hier, aber gleich den komplettn Staat anzweifeln?

    > Weshalb man ja auch nicht einfach nur Behauptet, dass Jemand schuldig ist, sondern dass auch beweisen muss und nicht umgekehrt seine Unschuld beweisen muss.
    >Wo kommen wir da hin, wenn ich dich als Vergewaltiger beschuldige und du dann mit deinem Telefonverlauf versuchst deine Unschuld zu beweisen?

    Man verhindert mit sowas ganz schnell wirklich hässliche Ermittlungen wie Wohnungsdurchsungen u.ä., wenn man direkt seine Unschuld beweisen kann. Wenn man aber aus Verfolgungsparaonia anonym wie ein Gangster lebt, muss man sich auch nicht wundern, wenn einem die Polizei dann zunächst auch mal für ein Gangster hält, bis sie das Gegenteil ermittelt hat. Und die Ermittlungsarbeit kann man sich sparen, wenn man normal lebt.

    > Dann darfst du an dieser Stelle gerne mal "normal leben" definieren, ich bin gleich mit ner Tüte Popkorn zurück ...

    Ein vernünftigen Kompromiss zwischen Datenschutz und Komfort finden, statt irgendwo ins Extremistische abzudriften. Sein Geschäft auf der Toilette öffentlich auf Facebook ankündigen zeugt von der selben fehlenden Fachkompetenz wie sich im Ausland Prepaid-SIMs zu kaufen, nur damit der böse Provider bloß nicht seine Anrufe zurückverfolgen kann. Beides kann einem schwere Probleme einhandeln.

    > Also diese "Ich habe nix zu verbergen" Typen kommen jeden Tag mit noch krasseren Ideen um die Ecke. Wenn du freiwillig dein Privatleben der ganzen Welt zur Verfügung stellen möchtest hindert dich daran doch keiner, warum aber müssen das alle Anderen auch machen?

    Weil es gewisse Themen wie gerade nun der Pandemie-Zustand es gebieten, dass man nicht nur an sich denkt, sondern auch ein Mindestmaß an Respekt gegenüber den Mitmenschen zeigt, erstrecht wenn es wie jetzt um schwere Krankheit oder gar Tod geht. Aber manchen Menschen fehlt halt der Anstand, das ging los als sie weiterhin trotz eindringlicher Bitten ihre 50 Packs Klopapier mit Bargeld bezahlten (damals wusste man schlicht noch nicht ob und wie stark sich Corona durch Schmierinfektionen überträgt, also unterband man vollkommen zurecht jede mögliche Infektionskette so gut wie möglich) und geht jetzt weiter, dass meist die selben Leute sich weigern eine quelloffene App zu installieren, weil da wieder der Aluhut und Verschwörungsmärchen wichtiger sind als die Gesundheit der Mitmenschen.
    Da hörts nämlich auf - wenn sich jemand sonst Spaß dran hat als durchsichtiger Geist zu leben, soll er es tun...

    > Wenn jemand weiß, welchen Weg du morgens zur Arbeit nimmst (die Polizei hat kein Problem mal kurz illegale Abfragen zu mache, wenn du zu links bist) und dich beschuldigt unterwegs nen Verbrechen beganngen zu haben, dann zückst du dein Handy und schwupps biste im Kerker.

    Den Satz kapier ich beim besten Willen nicht. Wie geschrieben, dass ich mal eines Verbrechens verdächtig bin, kann jedem passieren. Bei den meisten Leuten ist der Verdacht nach einem kurzen Gespräch verflogen. Wer da immer riesen Probleme hat (insb. weil er wegen früherer Straftaten schon aktenkundig ist), sollte sein Leben überdenken.

    > Beweis durch Behauptung, genialer Schachzug.

    Das ist keine Behauptung, sondern Tatsache. Würde jeder Verkehrsteilnehmer seine Position konstant an Dienste wie Google Maps übermitteln, könnten stets ideale Routen und Abfahrstzeiten berechnet werden. Das spart Sprit und kann so manche neue Straße überflüssig machen, da der Verkehr auf bestehende Straßen effizienter verteilt werden kann.

    > Halt stopp, eben willst du uns erzählen wie vertrauenswürdig der Staat doch ist und der erzählt uns regelmäßig, dass er noch mehr Grundrechtseinschnitte für noch mehr Überwachung braucht um die ganzen Internetverbrecher, Terroristen und Kinderschänder zu fangen und auf einmal ist das garnicht wirklich nötig weil ja WhatsApp reicht?

    Der Staat wird nicht ohne massiven Grund bei jemand auf höchsten technischen Niveau in IT-Systeme etc. eindringen. Dafür hat er nicht das Know-How, kein Personal und kein Geld. Ja, das macht vielleicht die CIA beim iranischen Atomkraftwerk, aber nicht bei Horst Müller. Der ist (was ihm sicher total traurig macht) viel zu unbedeutend und es interessiert die CIA überhaupt nicht, ob der Windows 10 oder sein seiner Ansicht nach hochsicheres H4xx0r-Linux hat.

    > Umso schlimmer das er betrieben wird.

    Wie gesagt, für Ziele, für die es sich lohnt eine 2048-Bit Verschlüsselung zu durchbrechen. Nicht dein WhatsApp-Chatlog mit 500 Emoticons die Stunde.

    > Welche allgemeine Verschlüsselung?

    In den letzten 10-15 Jahren hat sich enorm viel in Bezug auf IT-Sicherheit getan. Natürlich nicht wegen den bösen Geheimdiensten, viel mehr aber wegen IT-Kriminellen, die effektive Sicherheiuts-Maßnahmen nun doch nötig machten. Quasi jeder Messenger ist verschlüsselt, fast jede Webseite nutzt https, Updates werden mit Zertifikaten geschützt, selbst DNS ist verschlüsselt. Ich fürchte Horst Meiers Win10-PC ernsthaft zu korrumpieren ist fast schon ein Ding der Unmöglichkeit, während man vor 10-15 Jahren als Scriptkiddie sich zig Tools runterladen konnte oder gar nur irgendwelche Befehle abtippen musste um 0815 W98- oder XP-User zu sabotieren.



    1 mal bearbeitet, zuletzt am 23.07.20 21:24 durch McWiesel.

  10. Re: Exposure Notification Internals

    Autor: treysis 24.07.20 - 00:54

    dododo schrieb:
    --------------------------------------------------------------------------------
    > sevenacids schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Hinzu kommt unter Android der Zwang zu den Location Services, die
    > aktiviert
    > > sein müssen. Mag auch die Corona-App dies nicht zum Tracking nutzen,
    > jede
    > > andere auf dem System installierte App erhält damit die Lizenz zum
    > > Datensammeln.
    >
    > Das ist so nicht richt. Zum einen benötigen andere auf dem System
    > installierte Apps immer noch selbst die Standortberechtigung, unabhängig
    > davon ob du die Standortdienste an oder ausgeschaltet hast.
    > Zum anderen hat Google das mit den Standortberechtigungen relativ früh nach
    > dem erscheinen der deutschen Corona App nochmal angepasst, die Corona App
    > selbst benötigt keine Standortberechtigung mehr

    Benötigte sie noch nie. Durfte sie auch nicht. Mit Standortberechtigung hätte die App keinen Zugriff auf die GAEN-API gehabt. War von Anfang an so festgelegt.

    > und man wird auch nicht
    > mehr danach gefragt. Auch die Standortdienste können wohl ausgeschaltet
    > werden, zumindest mekert die App bei mir nicht mehr wenn ich das tue,
    > lediglich bei deaktivierten Bluetooth erhalte ich einen Hinweis daß das die
    > Kontaktverfolgung ohne nicht geht.

    Die App meckert nicht, aber die PlayServices. Denn die benötigen die Standortberechtigung für das Exposure Tracking. Und wenn ich Standort ausschalte, meckern die PlayServices sofort. Evtl. hast du deren Benachrichtigungen generell deaktiviert, sodass du das nicht mitbekommst.

  11. Re: Exposure Notification Internals

    Autor: happymeal 24.07.20 - 06:59

    sevenacids schrieb:
    --------------------------------------------------------------------------------
    > Ansonsten ist diese ganze Open Source-Geschichte ein zweischneidiges
    > Schwert, denn es steht und fällt mit dem Vertrauen, dass das, was dort
    > offengelegt wird auch wirklich das ist, was am Ende in kompilierter Form
    > bereitgestellt und ausgeführt wird.

    Ein Smartphone zu nutzen erfordert sowieso eine ganze Menge Vertrauen in den Hersteller des jeweiligen Betriebssystems. Wenn man das nicht hat, sollte man keins einsetzen.

  12. Re: Exposure Notification Internals

    Autor: Micha_T 24.07.20 - 07:00

    Glaube vielen geht es nicht um die Angst vor Überwachung durch den Staat.

    Ich will prinzipiell nicht das eine Firma sich unwissend an mir bereichert.

    Was haben wir denn 2019 permanent gelesen bei golem. Das Unternehmen viel mehr machen als sie dürften. Apple Google amazon etc haben alle ihre Spracherkennung Dienste "missbraucht.
    Diverse Datensätze mit Millionen Kunden Daten sind aufgetaucht.

    Das Google und Apple eh alles tracken ist logisch. Aber ich will einfach nicht das noch jemand und noch jemand und noch jemand einfach so meine Daten abgreift.


    Ich hab keine Angst das es Stasi 2.0 gibt. Wozu sollte das heute gut sein.

    Aber früher oder später findet jemand einen Bug und bis dahin würde die Lücke fleißig ausgenutzt.... wann war es nicht so???
    Grade Software Made in germany ist meist rückständig und anfällig.
    Das ich den Entwickler zutraue bugs bewusst zu vermarkten ist eben das Problem. Das hat man schon zu oft gelesen.

    Ganz davon abgesehen installierte ich eh nur noch ungern neue apps. Zu viel Zeug implementiert was einfach macht ohne zu fragen.

    Ich halte es wie seit Ende Februar.
    Wenig persönliche Kontakte, nichts anfassen und oft und gründlich Hände waschen.

  13. Re: Exposure Notification Internals

    Autor: Trollversteher 24.07.20 - 07:41

    >Ansonsten ist diese ganze Open Source-Geschichte ein zweischneidiges Schwert, denn es steht und fällt mit dem Vertrauen, dass das, was dort offengelegt wird auch wirklich das ist, was am Ende in kompilierter Form bereitgestellt und ausgeführt wird.

    Das laesst sich doch pruefen (zumindest bei den Apps).

    >Das gilt neben dem Code für die API vor allem für das Server-Backend, das man so nicht überprüfen kann und die Frage, ob dort nicht doch Daten erfasst, gespeichert und in Relation gesetzt werden, die so eigentlich nicht erhoben werden sollten. Beispielsweise die IP-Addresse beim Übermitteln der IDs.

    Was soll da bitte "gespeichert und in Relation gesetzt" werden? Mal abgesehen davon, dass mobile IP Adressen sich staendig aendern - wenn die ID Listen vom Client gepulled werden, hat die IP keine Aussagekraft (ausser: Temporaere IP XY hat wohl die App installiert).
    Und wenn jemand seine ID hochlaedt, ist er ohnehin namentlich bekannt, denn das setzt ja einen positiven Test vorraus, ohne den man sich gar nicht melden kann.

    Und von welchem Backend Code sprichst Du eigentlich? Die Sourcen des Backends der App wurden doch ebenfalls offen gelegt?

    Siehe hier:
    https://github.com/corona-warn-app

    >Hinzu kommt unter Android der Zwang zu den Location Services, die aktiviert sein müssen. Mag auch die Corona-App dies nicht zum Tracking nutzen, jede andere auf dem System installierte App erhält damit die Lizenz zum Datensammeln.

    Wenn Du "jeder anderen auf dem System installierten App" Zugriffsrechte auf die Location Services gewaehrt hast, bist Du selber Schuld und handelst ohnehin ziemlich fahrlaessig - was ist denn, wenn Du mal die Map-App benutzt um Dich irgendwo zurecht zu finden? Aus dem Grund haben bei mir *nur* Karten- und Navi-Apps Zugriffsrechte auf den Standort, keine anderen.

    >Ansonsten ein Tipp für Android-Nutzer: Die Exposure Notification API lässt sich über die Entwickleroptionen zumindest temporär (bis zum nächsten Play Services-Update oder Neustart) abschalten. Unter "Aktive Dienste" stoppt man einfach unter "Google Play Services" den "ExposureMatchingService".

    Und warum sollte man das tun? Unter iOS kann man die uebrigens, ganz offiziell, unter den Datenschutz-Einstellungen komplett deaktivieren - ist das bei Android nicht so?



    1 mal bearbeitet, zuletzt am 24.07.20 07:42 durch Trollversteher.

  14. Re: Exposure Notification Internals

    Autor: dododo 24.07.20 - 09:38

    treysis schrieb:
    --------------------------------------------------------------------------------
    > Benötigte sie noch nie. Durfte sie auch nicht. Mit Standortberechtigung
    > hätte die App keinen Zugriff auf die GAEN-API gehabt. War von Anfang an so
    > festgelegt.

    Hmm dann wurde das wohl vor dem Start noch geändert, ich meine von ersten Vorabtests gelesen zu haben bei denen noch die Rede von der Standortberechtigung war (und dem Hinweis, dass damit keine Positionsbestimmung betrieben wird sondern es schlicht für die Bluetoothschnittstelle notwendig ist).

    > Die App meckert nicht, aber die PlayServices. Denn die benötigen die
    > Standortberechtigung für das Exposure Tracking. Und wenn ich Standort
    > ausschalte, meckern die PlayServices sofort. Evtl. hast du deren
    > Benachrichtigungen generell deaktiviert, sodass du das nicht mitbekommst.

    Hmm also bei mir meckert da auch nach ein paar Minuten nichts wenn ich den Standort abschalte, hab es gerade probiert, Benachrichtigungen sind alle an für die Play Services, Standortberechtigung kann man denen ja nicht entziehen, da sie auch Standortprovider sind.

    Habe hier nen Android 10 Gerät mit Lineage OS, keine Ahnung ob das nen Unterschied macht.

  15. Re: Exposure Notification Internals

    Autor: honk 24.07.20 - 09:52

    dododo schrieb:
    --------------------------------------------------------------------------------

    > Das ist so nicht richt. Zum einen benötigen andere auf dem System
    > installierte Apps immer noch selbst die Standortberechtigung, unabhängig
    > davon ob du die Standortdienste an oder ausgeschaltet hast.
    Das stimmt, vorher gab es aber über die Standortdienste einen bequemen Schalter, allen installierten Apps auf eine Schlag die Standortberechtigung zu entziehen, und nur bei Bedarf einzuschalten. Das geht nun nicht mehr, wenn man die Corona-Warn-App nutzen möchte. Man muss jede App einzeln konfigurieren. Ist aber letztlich auch nicht so kompliziert, und man merkt dabei noch mal, wer alles den Standort haben möchte und wie selten der wirklich für die Funktionalität nötig ist.
    > Zum anderen hat Google das mit den Standortberechtigungen relativ früh nach
    > dem erscheinen der deutschen Corona App nochmal angepasst, die Corona App
    > selbst benötigt keine Standortberechtigung mehr und man wird auch nicht
    > mehr danach gefragt.
    Mit der Programmierung der Corona-Warn-App hat Google nichts zu tun, die hat von Anfang an nicht nach einer Standortberechtigung gefragt. Es geht um das Exposure Notification Framework, dass benötigt wird, damit die App funktioniert.
    >Auch die Standortdienste können wohl ausgeschaltet
    > werden, zumindest mekert die App bei mir nicht mehr wenn ich das tue,
    > lediglich bei deaktivierten Bluetooth erhalte ich einen Hinweis daß das die
    > Kontaktverfolgung ohne nicht geht.
    Das ist unter Android nicht richtig, werden die Standortdienste deaktiviert, funktioniert die App nicht. Mag sein, das es auf manchen Systemen keine Warnung gibt (bei mir unter Android 9 schon), aber die Google wertet die Funktion, permanent Bluetooth Signale zu senden, als Standortermittlung, wird keine Berechtigung dazu erteilt, werden auch keine Signale gesendet oder empfangen und die App funktioniert nicht. Apple sieht dass für Bluetooth wohl anders, da ist keine entsprechende Berechtigung erforderlich.

    Wohlgemerkt heißt das aber nicht, das Google über Bluetooth den Standort ermittelt, es ist nur eine Warnung, dass das theoretisch für dritte möglich sein könnte, wenn ausreichend Signale gesammelt und ausgewertet werden.

  16. Re: Exposure Notification Internals

    Autor: honk 24.07.20 - 10:28

    Trollversteher schrieb:
    --------------------------------------------------------------------------------
    > Was soll da bitte "gespeichert und in Relation gesetzt" werden? Mal
    > abgesehen davon, dass mobile IP Adressen sich staendig aendern - wenn die
    > ID Listen vom Client gepulled werden, hat die IP keine Aussagekraft
    > (ausser: Temporaere IP XY hat wohl die App installiert).
    Mann könnte darüber ein ungefähre Statistik erstellen, wie viele Nutzer die App täglich updaten und grob wie sie sich in Deutschland verteilen (Die IP Adresse lässt meist eine Rückschluss auf die Stadt oder Region zu, in der man eingeloggt ist). Halte ich nicht für sehr gefährlich. Außerdem wäre es über die IP Adresse den Serverbetreiber theoretisch möglich, diejenigen, die eine Infektion melden, zu deanonymisieren. Dazu wäre allerdings eine Mitwirkung der Internetprovider nötig. Da die Daten, wer infiziert ist, den Gesundheitsämtern ohnehin gemeldet werden müssen, bezweifle ich, dass das jemand versuchen wird. Außerdem würde so eine Abfrage bei den Providern wohl kaum unbemerkt bleiben, und das würde dann das Ende der Corona-Warn-App bedeuten.

    > Und wenn jemand seine ID hochlaedt, ist er ohnehin namentlich bekannt, denn
    > das setzt ja einen positiven Test vorraus, ohne den man sich gar nicht
    > melden kann.
    Eben, allerdings nicht einer zentralen Stelle, sondern nur den lokalen Gesundheitsämtern. So eine zentrale Bündelung wäre wohl das Missbrauchspotential. Wenn man sich da übermäßig große Sorgen macht, sollte man die App wohl besser nicht verwenden, vermutlich ist man dann aber auch gar nicht dazu in der Lage, weil man konsequenterweise aus Datenschutzgründen eh keinen Internetanschluss geschweige den ein Smartphone besitzt.

  17. Re: Exposure Notification Internals

    Autor: Trollversteher 24.07.20 - 11:33

    >Mann könnte darüber ein ungefähre Statistik erstellen, wie viele Nutzer die App täglich updaten und grob wie sie sich in Deutschland verteilen (Die IP Adresse lässt meist eine Rückschluss auf die Stadt oder Region zu, in der man eingeloggt ist). Halte ich nicht für sehr gefährlich.

    Eben, gefaehrlich ist das nicht - und die Genauigkeit laesst doch sehr zu wuenschen uebrig, ich sitze hier am suedlichen Rand von Hamburg, und werde laut IP-Ortsbestimmung im 100 km entfernten Bremen verortet...

    >Außerdem wäre es über die IP Adresse den Serverbetreiber theoretisch möglich, diejenigen, die eine Infektion melden, zu deanonymisieren. Dazu wäre allerdings eine Mitwirkung der Internetprovider nötig. Da die Daten, wer infiziert ist, den Gesundheitsämtern ohnehin gemeldet werden müssen, bezweifle ich, dass das jemand versuchen wird. Außerdem würde so eine Abfrage bei den Providern wohl kaum unbemerkt bleiben, und das würde dann das Ende der Corona-Warn-App bedeuten.

    Genau - man ist doch als gemeldeter Infizierter ohnehin den Aemtern bekannt, warum sollten die so einen Stunt fuer Informationen wagen, die ihnen ohnehin vorliegen?

  18. Re: Exposure Notification Internals

    Autor: Trollversteher 24.07.20 - 11:39

    >Ein System oder Mensch protokolliert bestimmte Daten (Bewegungsprofile, Metadaten, Nachrichten/Gespräche) über einen gewissen Zeitraum. Dein Wikipedia ist kaputt oder?

    Und das trifft auf die Corona App nicht zu. Folglich war wohl "das Wikipedia des TE" kaputt, und diese Klaerung notwendig.

    >Oder die verfolgen die Politik und Nachrichten länger als seit einem Tag und haben daher berechtigte Zweifel an der Vertrauenswürdigkeit von Staat, Polizei und Geheimdiensten.

    Hier geht es aber um die Corona App. Und gerade in einem "IT News fuer Profis" Forum sollte man sich zumindest soweit mit der Technologie und dem Konzept beschaeftigt haben, um zu wissen, dass hier der die boesen Buben von Staat, Polizei und Geheimdiensten nichts ueberwachem oder missbrauchen koennen.

  19. Re: Exposure Notification Internals

    Autor: wurstdings 27.07.20 - 12:44

    McWiesel schrieb:
    --------------------------------------------------------------------------------
    > Ja und nichts davon macht die Corona-App.
    Das wissen wir, wegen unserem Technikverständnis und weil wir uns mit dem Verfahren etwas beschäftigt haben. Der Durchschnittsnutzer sieht nur, dass Standortdaten/Bluetooth benötigt werden und da sehr sensible Daten in der App verarbeitet werden. Und das kombiniert mit dem fehlenden Vertrauen in unsere Regierung ...
    > > Das ist der Schritt nach der Überwachung.
    >
    > Nein, das ist Stoff für eine Dystopie aus Hollywood.
    Nee sowas ist schon mehrfach im echten Leben passiert und zwar nicht nur in der DDR, sondern auch in Westdeutschland bzw in der jetzigen BRD.
    > während andere da komischerweise immer wieder Stress mit haben.
    Na dann ist ja alles gut, wenn nur die Anderen darunter leiden müssen.
    > Ich empfehle dringend das Auswandern
    > wenn man dem Staat nicht mehr vertraut.
    Und wohin? Welcher Staat ist den vertrauenswürdig? In den Machtpositionen sammeln sich die Arschlöcher doch automatisch, egal wo.

    Wenn du dagegen auswanderst haben wir bessere Chancen in Deutschland was zu verändern. Oder gehe wenigstens nicht mehr wählen.
    > Und wieder frage ich mich, wie man so in Konflikt mit
    > dem Staat kommen kann.
    Durch ein ganzes Leben in diesem Staat und all den Dingen die man über diese Zeit erlebt.
    > Man verhindert mit sowas ganz schnell wirklich hässliche Ermittlungen wie
    > Wohnungsdurchsungen
    Bei dem Beschluss zur Wohnungsdurchsuchung bist du garnicht involviert, das erfährst du erst, wenn die Beamten vor der Tür stehen. Und die ziehen nicht ab, weil du ihnen dein Handy zeigst, das nehmen sie sich sowieso mit vor.
    > Wenn man aber aus Verfolgungsparaonia anonym wie ein Gangster lebt, muss
    > man sich auch nicht wundern, wenn einem die Polizei dann zunächst auch mal
    > für ein Gangster hält
    Oh doch, denn dafür hält sie einen nur, wenn sie dieses Verhalten durch anlasslose Massenüberwachung mitbekommen, daher ist das in Deutschland eigentlich verboten
    > Ein vernünftigen Kompromiss zwischen Datenschutz und Komfort finden, statt
    > irgendwo ins Extremistische abzudriften. Sein Geschäft auf der Toilette
    > öffentlich auf Facebook ankündigen zeugt von der selben fehlenden
    > Fachkompetenz wie sich im Ausland Prepaid-SIMs zu kaufen, nur damit der
    > böse Provider bloß nicht seine Anrufe zurückverfolgen kann.
    Das kann doch nicht sein, dass du all deine Freiheiten wegen Angst vor dem Staat und seinen Verdächtigungen aufgibst. Genau deswegen kritisiere ich ja Überwachung, fehlende Kontrollen und fehlende Rechtsstaatlichkeit.
    > Beides kann einem schwere Probleme einhandeln.
    Darf es aber nicht in einem gesunden Rechtsstaat. Entweder es gibt ein Gesetz, welches Dinge klar verbietet oder ich muss ohne Repressalien zu fürchten mein Leben leben dürfen.
    > Weil es gewisse Themen wie gerade nun der Pandemie-Zustand es gebieten,
    > dass man nicht nur an sich denkt
    Logisch, das bedeutet aber nicht, das man irgendwelche Grundrechtseinschnitte hinnehmen muss.
    > dass meist die selben Leute sich weigern
    > eine quelloffene App zu installieren, weil da wieder der Aluhut und
    > Verschwörungsmärchen wichtiger sind als die Gesundheit der Mitmenschen.
    Oder weil man dazu ein Googlekonto benötigt oder weil man garkein Smartphone hat oder so wie ich das Teil nur sehr selten mit sich trägt.
    > > Wenn jemand weiß, welchen Weg du morgens zur Arbeit nimmst (die Polizei
    > hat kein Problem mal kurz illegale Abfragen zu mache, wenn du zu links
    > bist) und dich beschuldigt unterwegs nen Verbrechen beganngen zu haben,
    > dann zückst du dein Handy und schwupps biste im Kerker.
    >
    > Den Satz kapier ich beim besten Willen nicht.
    Das soll nur unterstreichen, warum man Leute nicht einfach ohne Beweise in den Kerker haut.
    > Wie geschrieben, dass ich mal
    > eines Verbrechens verdächtig bin, kann jedem passieren.
    Klar, passiert, in dem Fall liegen ja keine Beweise gegen einen vor und man ist nicht angeklagt. Da wird man von der Polizei vorgeladen und interviewt, sagt denen, dass man bei Omas Geburtstagsfeier war an dem Tag und tschüß. Keine Überwachung oder Grundrechtseinschitte nötig und auch kein Handy.
    > Wer da immer
    > riesen Probleme hat (insb. weil er wegen früherer Straftaten schon
    > aktenkundig ist), sollte sein Leben überdenken.
    Dafür ist es dann zu spät. Im Gesetz steht auch, dass man für eine Straftat nur einmal bestraft werden darf.
    > Das ist keine Behauptung, sondern Tatsache.
    Behauptete er ....
    > Würde jeder Verkehrsteilnehmer
    > seine Position konstant an Dienste wie Google Maps übermitteln, könnten
    > stets ideale Routen und Abfahrstzeiten berechnet werden.
    Also dürfte man zum Dank fürs Nackig machen nicht mal mehr dann fahren wann man will, sondern nur wann Google es für richtig hält? Und man müsste alle Autofahrer zwingen Google-Smartphones zu besitzen und ein Googlekonto und irgendwie müsste man sicherstellen, Dass die dann auch genau so fahren wie google es vorhergesehen hat. Kein spontaner Abstecher weil das Kind mal dringend muss oder die Landschaft sich für nen Picknik anbietet oder das Benzin knapp wird?
    Mit vollautomatisch fahrenden Autos wäre das eventuell möglich aber mit Menschen am Steuer will ich dann doch einen Beweis dafür sehen.
    > Der Staat wird nicht ohne massiven Grund bei jemand auf höchsten
    > technischen Niveau in IT-Systeme etc. eindringen. Dafür hat er nicht das
    > Know-How
    Bundestrojaner schonmal gehhört? Das Geld hat er locker und zwar vom Steuerzahler. Zur Not verfällt halt die nächste Schule oder das Rentenalter wird hoch gesetzt.
    > kein Personal und kein Geld.
    Schön wärs. Aber wie dieser Artikel eben Zeigt, gibt es Missbrauchsmöglichkeiten, werden sie genutzt. Das machen die Polizisten sogar unentgeldlich in ihrer Freizeit bei 0815 Leuten, die die falsche politische Meinung haben oder weil man die Ex und ihren Partner drangsalieren möchte.
    > In den letzten 10-15 Jahren hat sich enorm viel in Bezug auf IT-Sicherheit
    > getan. Natürlich nicht wegen den bösen Geheimdiensten, viel mehr aber wegen
    > IT-Kriminellen
    Also das forcieren von https kam mit den Veröffentlichungen von Snowden, aber der ist in deinen Augen wahrscheinlich nen Krimineller.
    > Quasi jeder Messenger ist verschlüsselt, fast jede Webseite nutzt
    > https, Updates werden mit Zertifikaten geschützt, selbst DNS ist
    > verschlüsselt.
    Und das bringt hauptsächlich was gegen Geheimdienste, die ganze Unterseekabel abgreifen, jedoch nur soviel, dass sie nicht an die Inhalte kommen. Da denen aber Metadaten viel wichtiger sind, hat man jetzt auch nicht so viel gekonnt.
    > Ich fürchte Horst Meiers Win10-PC ernsthaft zu korrumpieren
    Werbetext: Achtung! Ihr Rechner wurde mit "böser Virus" infiziert, laden sie sich den Malewarescanner XY ganz schnell runter!
    Und bei den vielen Lücken in Windows sowie IntelCPUs, ist es auch nicht schwer sowas ohne Opfermithilfe zu machen.
    > während man vor 10-15 Jahren als
    > Scriptkiddie sich zig Tools runterladen konnte
    Daran hat sich nix geändert, man kann heute noch zusätzlich super günstige Botnets mieten.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Servicezentrum der bayerischen Justiz, Amberg/Oberpfalz, Bamberg, Würzburg, Nürnberg, München
  2. Deutsche Bundesbank, Düsseldorf
  3. über KISSLING Personalberatung GmbH, Großraum Balingen
  4. Information und Technik Nordrhein-Westfalen (IT.NRW), Münster

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 593,53€ (mit Rabattcode "YDE1NUMXRJSHH3QM" - Bestpreis!)
  2. 68,23€ (PS4, Xbox One)
  3. (u. a. Crucial Ballistix 16GB DDR4-3200 RGB für 78,78€, Crucial Ballistix 32GB DDR4-2666 für...
  4. (aktuell u. a. Beboncool 5-in-1-Ladestation für Switch Joy Cons für 13,69€, Kopfhörer von...


Haben wir etwas übersehen?

E-Mail an news@golem.de