Corona: Warn-App / Digitaler Impfpass

[Will.Hunting]

Ich finde die Datenschutz-Diskussion in diesem Fall so bescheuert. Man hat heute die Technik zur Verfügung, die im Falle von Corona helfen könnte, Leben zu retten und dazu beitragen könnte, die freiheitsbeschneidenden Einschränkungen jedes Einzelnen zu verringern, und direkt kommen wieder die Aluhutträger und Verschwörungstheoretiker mit ihrem Mimimi um die Ecke. Und wenn man sich die Diskussionen im Netz anguckt, haben viele von ihnen noch nicht mal verstanden, dass die aktuell diskutierte Datenspende-App nichts mit der in Entwicklung befindlichen PEPP-PT-App zu tun hat. Aber Hauptsache, mal direkt den Mund aufgerissen.

Und nicht falsch verstehen: Ich bin dafür und finde es wichtig, evtl. Datenschutzbedenken ernst zu nehmen. Aber muss man direkt im Vorfeld schon wieder alles kaputtreden? Wenn man die verfügbare Technik und die Verbreitung von Smartphones in weiten Teilen der Bevölkerung in dieser Situation nun wirklich mal sinnvoll zum Wohle aller einsetzen könnte, dann sollte man das doch auch tun.

[Labersack]

nunja mit den fitness-tracker daten hat man ja schon den jackpot gezogen was diese uhren so alles speichern k.a wie das bei Corona helfen soll :nixweiss

die app sammelt im hintergrund übrigens durch ein Plugin in der app munter datem vom Gerät auf dem sie läuft u.a was sonst noch so für apps laufen und installiert sind die IMEI des Gerätes sofern vorhanden ausserdem versucht die App socialmedia accounts zu finden.. ich würde um die app einen bogen machen ..

Zumindest verschlüsselt die App die verbindungen mit einem Gültigen SSL Cert und MITM attacken sind nicht möglich..

Die angeforderten Rechte auf Android sind sehr gering:

Diese App kann auf Folgendes zugreifen:
WLAN-Verbindungsinformationen
view Wi-Fi connections

Sonstiges
view network connections
full network access

Aber sie unterstützt Tracker, die selbst mit ihrer Cloud verbunden sind und deren Apps auch gerne die Ergebnisse in Social Media posten. Die Nutzer haben also nicht viel zu verlieren!

[Labersack]

Ich finde die Datenschutz-Diskussion in diesem Fall so bescheuert. Man hat heute die Technik zur Verfügung, die im Falle von Corona helfen könnte, Leben zu retten und dazu beitragen könnte, die freiheitsbeschneidenden Einschränkungen jedes Einzelnen zu verringern, und direkt kommen wieder die Aluhutträger und Verschwörungstheoretiker mit ihrem Mimimi um die Ecke. Und wenn man sich die Diskussionen im Netz anguckt, haben viele von ihnen noch nicht mal verstanden, dass die aktuell diskutierte Datenspende-App nichts mit der in Entwicklung befindlichen PEPP-PT-App zu tun hat. Aber Hauptsache, mal direkt den Mund aufgerissen.

Deswegen gibt es diesen Thread. Im ersten Posting liste ich die drei aktuellen Apps auf. Es war abzusehen,. dass hier einiges durcheinander geworfen wird, siehe Social Media. Dazu kommen noch Beschreibungen von Apps im Ausland, die sehr viel durchgreifender sind.

Bei der PEPP-PT-App hat man sich viele Gedanken über Datensparsamkeit gemacht. Wenn das richtig implementiert wird, könnten auch die Anforderungen des CCC erfüllt werden.

Und nicht falsch verstehen: Ich bin dafür und finde es wichtig, evtl. Datenschutzbedenken ernst zu nehmen. Aber muss man direkt im Vorfeld schon wieder alles kaputtreden? Wenn man die verfügbare Technik und die Verbreitung von Smartphones in weiten Teilen der Bevölkerung in dieser Situation nun wirklich mal sinnvoll zum Wohle aller einsetzen könnte, dann sollte man das doch auch tun.

Wie bei allen Maßnahmen sollte man auch den Blick darauf werfen: Nützt das oder dient das nur zur Beruhigung? Die PEPP-PT-App nützt nur bei einer hohen Beteiligung etwas.

[Fox012]

Ich finde die Datenschutz-Diskussion in diesem Fall so bescheuert. Man hat heute die Technik zur Verfügung, die im Falle von Corona helfen könnte, Leben zu retten und dazu beitragen könnte, die freiheitsbeschneidenden Einschränkungen jedes Einzelnen zu verringern, und direkt kommen wieder die Aluhutträger und Verschwörungstheoretiker mit ihrem Mimimi um die Ecke. Und wenn man sich die Diskussionen im Netz anguckt, haben viele von ihnen noch nicht mal verstanden, dass die aktuell diskutierte Datenspende-App nichts mit der in Entwicklung befindlichen PEPP-PT-App zu tun hat. Aber Hauptsache, mal direkt den Mund aufgerissen. Und nicht falsch verstehen: Ich bin dafür und finde es wichtig, evtl. Datenschutzbedenken ernst zu nehmen. Aber muss man direkt im Vorfeld schon wieder alles kaputtreden? Wenn man die verfügbare Technik und die Verbreitung von Smartphones in weiten Teilen der Bevölkerung in dieser Situation nun wirklich mal sinnvoll zum Wohle aller einsetzen könnte, dann sollte man das doch auch tun.

1.

Zu argumentieren, dass Sie keine Privatsphäre brauchen, weil Sie nichts zu verbergen haben, ist so, als würden Sie sagen, dass Sie keine Meinungsfreiheit brauchen, weil Sie nichts zu sagen haben.“ – Edward Snowden

2. ich wusste es auch nicht das diese datenspende app nicht die app ist die noch in der entwickelung ist zumal ich von diesem Teltarif Artikel wohl auch in die irre geführt worden bin
https://www.teltarif.de/corona-daten...ews/80215.html aber deswegen gibts ja foren wo man dann aufgeklärt wird aber schön für dich wenn du alles ungefragt schluckst und dird enkst "ach wird schon passen" jeder andere der etwas hinterfragt ist dann wohl immergleich ein Aluhut-träger?

3. das gleiche könnte man dir auch vorwefen

Die angeforderten Rechte auf Android sind sehr gering:

Aber sie unterstützt Tracker, die selbst mit ihrer Cloud verbunden sind und deren Apps auch gerne die Ergebnisse in Social Media posten. Die Nutzer haben also nicht viel zu verlieren!

die angeforderten rechte sind in der tat sehr gering aber zugang zum Dateisystem von android ist eine standard berechtigung die nicht extra ausgewiesen bzw angefordert werden muss da sonst die app nicht laufen würde und da unter android apps nicht in einer eignen sandbox wie bei Apple laufen kann sich jede app praktisch auch andere apps anschauen bzw ausschnüffeln das ist auch kein hexenwerk

kann aber auch sein das die app nur wgeen eines share buttons nach Social Media accounts sucht so genau hab ich jetzt auch nicht geschaut die Person hinter einer IMEI ist durch selbige auch nicht identifizierbar.. ich wollte es auch nur anmerken

[Labersack]

die angeforderten rechte sind in der tat sehr gering aber zugang zum Dateisystem von android ist eine standard berechtigung die nicht extra ausgewiesen bzw angefordert werden muss da sonst die app nicht laufen würde und da unter android apps nicht in einer eignen sandbox wie bei Apple laufen kann sich jede app praktisch auch andere apps anschauen bzw ausschnüffeln das ist auch kein hexenwerk

kann aber auch sein das die app nur wgeen eines share buttons nach Social Media accounts sucht so genau hab ich jetzt auch nicht geschaut die Person hinter einer IMEI ist durch selbige auch nicht identifizierbar.. ich wollte es auch nur anmerken

In der c't stand mal, dass manche Android-Apps durch verwendete Libraries solche Dinge reinbekommen, die zwar nicht real verwendet werden, aber vorhanden sind.

Bei BLE / Bluetooth allgemein gibt es aber eindeutige MAC-Adressen, hier zu sehen, unter "bluetoothctl-Beispiel"

[bluetooth]# scan on
Discovery started
[CHG] Controller 00:1A:7D:EA:71:13 Discovering: yes
[NEW] Device 70:10:00:1A:92:20 70-10-00-1A-92-20
[NEW] Device 73:0C:0F:CF:F3:BE 73-0C-0F-CF-F3-BE

https://kofler.info/bluetooth-konfig...-bluetoothctl/
Da man damit nicht direkt im Internet auftaucht, ist das nicht so schlimm.

Nach meinem bisherigen Verständnis schickt die PEPP-PT-App nur einmal Daten zum Server: Wenn der Nutzer sagt, er wäre positiv getestet worden.
Der Server schickt dann einmal täglich allen Nutzern die IDs aller positiven und die App schlägt bei Übereinstimmung lokal Alarm. Was man dann macht, ist einem selbst überlassen.
Mal sehen,. ob das stimmt.

[Fox012]

In der c't stand mal, dass manche Android-Apps durch verwendete Libraries solche Dinge reinbekommen, die zwar nicht real verwendet werden, aber vorhanden sind.

Bei BLE / Bluetooth allgemein gibt es aber eindeutige MAC-Adressen, hier zu sehen, unter "bluetoothctl-Beispiel"

https://kofler.info/bluetooth-konfig...-bluetoothctl/
Da man damit nicht direkt im Internet auftaucht, ist das nicht so schlimm.

Nach meinem bisherigen Verständnis schickt die PEPP-PT-App nur einmal Daten zum Server: Wenn der Nutzer sagt, er wäre positiv getestet worden.
Der Server schickt dann einmal täglich allen Nutzern die IDs aller positiven und die App schlägt bei Übereinstimmung lokal Alarm. Was man dann macht, ist einem selbst überlassen.
Mal sehen,. ob das stimmt.

ja das wäre auch okay.. aber warten wir mal der dinge und schauen uns das ganze dann an

[Labersack]

Mehr Details zur App:

Die Distanzdaten werden auf Bluetooth-Basis erfasst und lokal auf dem Gerät ausgewertet. Diese Daten werden nicht auf einem Server gespeichert, aber mit der ID-Nummer des Nutzers verknüpft.
...
Die ID-Nummer, die in den Handys gespeichert wird, wird im Moment vom System mindestens alle 30 Minuten ausgetauscht. Der Handybesitzer kann also mit dieser Information seine Infektionskette nicht nachverfolgen und andere identifizieren. Mit den erfassten Distanzdaten können im Falle eines positiven Tests andere Nutzer über ihre ID-Nummer informiert werden.

https://www.heise.de/newsticker/meld...d-4700336.html

[Labersack]

Die Gesellschaft für Informatik (GI) hält die App "Corona-Datenspende", die das Robert-Koch-Institut (RKI) am Mittwoch im Kampf gegen die Pandemie herausgegeben hat, für unausgegoren, wenn nicht kontraproduktiv

Corona: Informatiker kritisieren "Datenspende-App" als "schlecht gemacht"

[Fox012]

Corona: Informatiker kritisieren "Datenspende-App" als "schlecht gemacht"

Alles "Aluhutträger und Verschwörungstheoretiker" mit ihrem Mimimi

Das Sprachrohr für Informatiker reibt sich vor allem daran, "dass der Code der Anwendung proprietär ist, und damit nicht öffentlich dokumentiert und überprüfbar, wie eigentlich für solche Apps zwingend notwendig".

könnte ja bei rauskommen das die app noch mehr mach als nur wearables auszulesen

[Labersack]

Seltsame Dinge passieren beim PEPP-PT-Projekt: Die Doku des bisher verfolgten dezentralisieren Protokolls wurde von der Homepage gelöscht:

https://www.golem.de/news/pepp-pt-st...04-147925.html

Zur Diskussion zentrale oder dezentral:

https://netzpolitik.org/2020/welche-...n-datenschutz/

[Labersack]

Die ersten springen bei PEPP-PT wegen Intransparenz ab, der dezentrale Ansatz soll bei DP3T umgesetzt werden, was auch zu den neuen Schnittstellen von Google und Apple passen soll.

https://www.heise.de/newsticker/meld...T-4705279.html

[Labersack]

Die Diskussion über einen zentralen Ansatz geht weiter
Forscher:innen warnen, Kontaktverfolgung könne zur Überwachung missbraucht werden

[Labersack]

Mal was zur schon eingesetzten Datenspende-App des RKI.
Die App speichert Zugangsdaten zu den Fitness-Datenbanken in der Cloud der Betreiber!

Kritisiert wird unter anderem, dass Fitnessdaten - außer im Falle einer Nutzung von Apple Health - direkt vom Server eines Fitnesstracker-Anbieters oder von Google Fit an den RKI-Server übertragen werden. Das Institut speichere im Zuge dieser Direktverbindung eine große Anzahl von Zugangsdaten mit hohem Schutzbedarf, schreibt der CCC: "Diese Zugangsdaten erlauben den Zugriff auf nicht pseudonymisierte und historische Fitnessdaten und bei den Anbietern Fitbit, Garmin, Polar und bei Google Fit den Zugriff auf die vollständigen Namen der Datenspender."

Chaos Computer Club findet Schwachstellen in "Corona-Datenspende"
Ich kann mir vorstellen, das es auf dem Smartphone keine Schnittstelle zu den lokal gespeicherten Daten gibt (kein App-zu-App-Zugriff). Pseudonym ist das nicht, andererseits haben die Besitzer sowieso schon immer ihre Daten an Google, Apple und Co. geschickt.

[Fox012]

Mal was zur schon eingesetzten Datenspende-App des RKI.
Die App speichert Zugangsdaten zu den Fitness-Datenbanken in der Cloud der Betreiber!

Chaos Computer Club findet Schwachstellen in "Corona-Datenspende"
Ich kann mir vorstellen, das es auf dem Smartphone keine Schnittstelle zu den lokal gespeicherten Daten gibt (kein App-zu-App-Zugriff). Pseudonym ist das nicht, andererseits haben die Besitzer sowieso schon immer ihre Daten an Google, Apple und Co. geschickt.

wusste ich es doch xD

und bei android gibts schnittstellen die berechtigung "speicher" gibtes auch um auf die daten zuzugreifen.. aber hey die app greift halt alles ab was sie kriegen kann wenn sie schon zugriff hat aber nur weil man seine daten an Google & co gibt muss das nicht heißen das das RKI die auch haben darf..

[Labersack]

Jetzt doch dezentral, alles andere würde wohl auch für zu wenig Akzeptanz führen.

Bundesregierung setzt nun doch auf dezentrale Lösung