Kategorien
Allgemein

Smittestopp gestoppt

Vor etwas über einem Monat schrieb ich einen Beitrag zu Smittestop. Dies ist die Corona-App aus Norwegen. Diese speicherte GPS- und Bluetooth-Daten auf einem Azure-Server. Generell machte die App keinen guten Eindruck aus Sicht der Privatsphäre. So endete mein Beitrag mit den Worten:

Man kann nur hoffen, dass die Datatilsynet einen Blick darauf wirft und korrigierende Maßnahmen trifft.

https://insecurity.radio.fm/die-norwegische-corona-app/

Und es gibt gute Nachrichten zu vermelden. Die norwegische Datenschutzaufsichtsbehörde hat obiges getan und eine Entscheidung getroffen. Laut einer Pressemitteilung muss die Verarbeitung personenbezogener Daten beendet werden und alle bisher erfassten Daten sind zu löschen.

Die App wurde insgesamt 1,6 Millionen mal heruntergeladen und etwa 600.000 Benutzer:innen teilen die Daten mit den norwegischen Behörden. Das entspricht etwa 10 % der norwegischen Bevölkerung.

Der Bescheid der Datatylsinet lässt den Behörden bis zum 23. Juni 2020 Zeit, um die Fehler zu beheben. Die Behörde kritisiert insbesondere den Einsatz von GPS. Sie sind der Ansicht, dass dies zu tief in die Privatsphäre eingreift und im Widerspruch zu den Empfehlung der WHO sowie des europäischen Datenschutzausschusses steht.

Camilla Stoltenberg, Leiterin des Folkehelseinstituttets, sieht das natürlich anders. Sie kritisiert die Entscheidung und sieht hier eine wichtige Rolle in der Infektionsprävention. Der Journalist Henrik Moltke fragte die Firma Simula, die die App entwickelt hat, wieviele Leute gewarnt wurden. Simula reagierte nur mit einem Link auf die Gesundheitsbehörde. Darin steht, dass bisher niemand gewarnt wurde.

Die Gesundheitsbehörde hat natürlich noch große Hoffnungen an die App und will die verbessern. Warten wir ab, was hier noch passiert.

Kategorien
Allgemein

Die katarische Corona-App EHTERAZ

Die Corona-App aus Katar macht weiter in der Reihe der schlechten Beispiele und legte die persönlichen Daten von über einer Million Nutzerinnen und Nutzer offen.

EHTERAZ wurde vom Innenministerium des Emirates Katar herausgegeben. Die App ist für Android und iOS verfügbar. Im Gegensatz zu einigen anderen Ländern oder Apps ist der Einsatz in Katar verpflichtend. Die Strafen sind recht drakonisch. Es drohen nämlich drei Jahre Gefängnis oder eine Geldstrafe von umgerechnet knapp 50.000 €. Im Playstore werden über eine Million Installationen vermeldet. Für iOS konnte ich keine Zahlen finden. Aber bei 2,7 Millionen Einwohnern ist das schon eine ordentliche Installationsbasis. Doch wie funktioniert die Anwendung?

Bei der Registrierung muss zunächst eine Telefonnummer aus Katar sowie die Personenkennzahl (National ID number) eingegeben werden. Daraufhin wurde eine Antwort vom Server erzeugt, die folgende Daten enthielt:

  • Name der Person mit der Personenkennzahl
  • Farbindikator (rot, gelb, frün, grau) des Gesundheitsstatus’
  • QR-Code
  • Aufenthaltsort der Person (Länge und Breite)
  • falls die Person behandelt wird, der Name der medizinischen Einrichtung

Die Daten wurden zurückgegeben, nachdem die Personenkennzahl an den Server übertragen wurde. Das heißt, wer die Kennzahl kennt, kann sich die Daten anzeigen lassen. Dabei ist die Kennzahl auch nicht kompliziert aufgebaut. Diese besteht im wesentlichen aus dem Geburtsjahr, eine Ländercode und einer laufenden Nummer. Insgesamt sind die also sehr leicht vorherzusagen. Man konnte dem Server auch eine unbegrenzte Zahl an Anfragen schicken.

Alles in allem ist das keine gute Kombination. Denn so lässt sich der Gesundheitsstatus recht einfach abfragen.

Die Software kann weiterhin auch auf Ortsangaben (GPS-Daten) zugreifen und es ist möglich, einen Bewegungsverlauf aufzuzeichnen. Derzeit ist das deaktiviert. Allerdings kann das sowohl für alle wie auch für Einzelpersonen aktiviert werden. Die Entscheidung liegt beim Betreiber der Software. Diese Bewegungsdaten würden in dem Fall dann auf einen zentralen Server hochgeladen werden.

Für den Fall, dass jemand positiv getestet wurde und sich in Quarantäne befindet, scheint die Software auch zu überwachen, dass dies eingehalten wird. Denn es wird der Ort sowie ein Radius um den Ort gespeichert. Weiterhin scheint es Warnungen zu geben, wenn der Radius verlassen wird.

All diese Punkte in Verbindung mit der Pflicht, die App installieren zu müssen, lassen einem wieder mal die Haare zu Berge stehen.

Quellen

Kategorien
Allgemein

Die pakistanische Corona-App COVID-10 Gov PK

Auf Twitter hat @fs0c131y kürzlich eine Analyse zu COVID-19 Gov PK, der pakistanischen Corona-App, geschrieben. Ich fasse die Inhalte unten zusammen.

Die App ist keine klassische Contact-Tracing-App, sondern gibt einfache Informationen zu Provinzen, man kann eine Selbsteinschätzung machen, Alarme für Regionen einstellen und sich an Hygieneregeln erinnern lassen. Sie wurde vom National Information Technology Board entwickelt und kann beispielsweise über den Playstore installiert werden. Die pakistanische Regierung betreibt eine eigene Webseite, wo Informationen zu COVID-19, Corona und anderem bereit gestellt werden. Der erste Aufruf der App geht dann auch zu der Webseite. Auf http://covid.gov.pk/api/statistics werden aktuelle Statistiken heruntergeladen. Natürlich ohne Verschlüsselung über HTTP.

Die Kommunikation der App läuft dann schließlich über die Domain covidappapi1.nitb.gov.pk. Der Username und das dazugehörige Passwort sind fest in der Anwendung hinterlegt:

  • User: CovidAppUser
  • Passwort: CovidApi!@#890#

Wenn dann später Anfragen gestellt werden, so wird eine andere Kombination verwendet:

  • User: ApiUser
  • Passwort: ApiUser@1234#

Das allein reicht schon für einen ordentlichen Facepalm. Aber es wird noch besser.

Über einen »Radius Alert« kann man sich über Fälle in der näheren Umgebung warnen lassen. Falls es Fälle gibt, werden die mit roten Stecknadeln auf einer Karte gekennzeichnet. Schat man in die Kommunikation, enthält diese u.a. die zwei Lat und Long. Diese enthalten Länge und Breite, also die genauen Ortsangaben der erkrankten Person. Deren Privatsphäre scheint nicht so wichtig zu sein. 🙂

Während also die Daten der App-Benutzer so leidlich geschützt werden, ist die für die Erkrankten nicht der Fall.