Kategorien
Allgemein

Die argentinische Corona-App CuidAR

Argentinien hat ebenfalls eine Corona-App am Start. Unter dem Namen CuidAR kann diese im Play Store und im AppStore heruntergeladen werden.

Die ist als Tracing-App und zur Selbstdiagnose angelegt. Nach der Installation fragt die App verschiedene personenbezogene Daten ab. Dazu gehören:

  • Name
  • Adresse
  • Telefonnummer
  • Ausweisdaten
  • Gesundheitsdaten wie Körpertemperatur und anderes

Angeblich wird garantiert, dass nur die Gesundheitsbehörden darauf zugreifen können.

Nach der Eingabe der Gesundheitsdaten bewertet die App diese. Je nachdem, zu welcher Einschätzung sie kommt, können die Nutzerinnen und Nutzer weiter am Leben teilnehmen, in Quarantäne gehen oder werden ins Krankenhaus geschickt.

Im letzteren Fall wird auch ein Alarm an die Gesundheitsbehörden ausgelöst oder die Leute werden aufgefordert, die Behörden zu kontaktieren. Dies konnte ich bisher aus den Presseartikeln nicht herauslesen.

Papst Franziskus

Martin Tschirsich wies bei Twitter auf einen interessanten Fakt hin. Wenn jemand die App neu installiert, müssen nur die Ausweisdaten eingegeben werden. Der Rest wird von einem zentralen Server heruntergeladen. Das heißt, wenn es jemandem möglich ist, die Ausweisdaten irgendwoher zu bekommen, kann man den COVID-Status der Person erfragen. Außerdem könnte man auch den Status dann selbst setzen. Martin hat das am Beispiel von Jorge Mario Bergoglio (auch bekannt als Der Papst) gezeigt.

Es gibt auch widersprüchliche Angaben, ob die Benutzung der App nun verpflichtend ist oder nicht. Der Präsident Alberto Fernández sagte, dass die Benutzung eine Vorbedingung für die Rückkehr an den Arbeitsplatz ist. Später wurde dies von anderen relativiert.

Aus meiner Sicht reiht sich CuidAR in die schon betrachteten Apps Smittestop und Aarogya Setu ein, Totalschaden für die Privatsphäre. Immerhin hat die argentinische Regierung einen Audit der Software in Aussicht gestellt.

Quellen

Kategorien
Allgemein

Die indische Corona-App Aarogya Setu

Nach dem Blick gestern nach Norwegen in Richtung der App Smittestop ging, soll es heute nach Indien gehen. Auch dort wurde eine Corona-App veröffentlicht: Aarogya Setu.

Das Ministry of Home Affairs hat eine Verordnung herausgegeben. Demnach gibt es bis Anfang Mai 2020 einen Lockdown. Es werden drei Zonen, rot, orange und grün, eingeführt:

  • grün: Keine COVID-19-Fälle in den letzten 21 Tagen
  • rot: In Abhängigkeit von der Anzahl der Fälle und der Ausbreitungsgeschwindigkeit werden Regionen als rot oder Hotspots gekennzeichnet.
  • orange. Regionen, die weder grün noch rot sind, werden als orange eingestuft.

Je nach Einstufung gibt es mehr oder weniger starke Einschränkungen. Innerhalb der roten oder orangenen Zonen werden wiederum so genannte Containment-Zonen definiert. In diesen gibt es ein signifikantes Risiko einer Ansteckung. Die lokalen Behörden müssen sicherstellen, dass alle Leute in dieser Zone die Aarogya-Setu-App installiert haben. Das heißt, im Gegensatz zu anderen Gebieten existiert hier eine Pflicht, eine solche App auf dem Telefon zu haben. Sollte dies bei Personen nicht der Fall oder diese sich weigern, so sollen 1000 Rupien Strafe oder 6 Monate Gefängnis verhangen werden.

Welche Daten sammelt die App? Die App hat eine Privacy Policy. Dort finden sich die folgenden Angaben:

  • Name
  • Telefonnummer
  • Alter
  • Geschlecht
  • Beruf
  • in den letzten 30 Tagen besuchte Länder
  • eine vom Telefon erzeugte Digitale iD (DiD)

Wenn sich nun zwei Personen in Bluetooth-Reichweite nähern, tauschen die Geräte die DiD zusammen mit der GPS-Position und der Zeit aus.

Die App verlangt in regelmäßigen Abständen eine Selbsteinschätzung. Anhand dieser Einschätzung vergibt die App wieder einen Farbcode. Nach der Einschätzung wird ebenfalls die GPS-Position mit der DiD erhoben und an einen zentralen Server übermittelt.

Aarogya Setu speichert dauerhaft die GPS-Informationen auf dem Gerät. Sobald die Person positiv getestet wurde, die Selbsteinschätzung gelb oder orange erreicht hat oder die Person COVID-19-ähnliche Symptome angibt, wird der Datensatz an einen zentralen Server übermittelt.

Die hochgeladenen Informationen können dann mit einem sehr breiten Personenkreis geteilt werden. die Privacy Policy lässt hier einen breiten medizinischen oder administrativen Personenkreis zu.

Schon das ist ein sehr tiefer Eingriff in die Privatsphäre der Nutzerinnen und Nutzer. Elliot Alderson, ein Sicherheitsforscher, hat sich verschiedene Varianten der App angeschaut. Dabei stellte er Probleme fest. So konnte er über die App abfragen, wer in einer Region infiziert ist! Aarogya Setu erlaubte es, beliebige Adressen und beliebige Radien einzugeben. Die App zeigt dann an, wieviele Personen im gewählten Umkreis positiv sind, sich unwohl fühlen, positiv über Bluetooth sind etc. Dies ist natürlich auch ein großes Desaster für die Privatsphäre.

Auf der anderen Seite veröffentlich beispielsweise der District Sas Nagar eine PDF-Datei mit den Namen und der Adressen von Leuten in Quarantäne. Auch bei WhatsApp kursieren Listen mit Leuten, die vermutlich infiziert sind.

Elliot Alderson schreibt das in einem Tweet sehr schön:

A mobile application that send your GPS coordinates regurlaly to a server owned by a government is a surveillance system.

Tweet von Elliot Alderson

Quellen

Kategorien
Allgemein

Die norwegische Corona-App Smittestop

In der nächsten Sendung sprechen Tobias und Jens über Eigenschaften einer Corona-App. Im Gespräch greifen wir bereits bestehende Apps auf und sprechen darüber. Eine war Smittestop, die Corona-App aus Norwegen.

Ein paar allgemeine Informationen zu dieser App findet sich auf der Seite des Folkehelseinstituttet (FHI), der norwegischen Gesundheitsbehörde. Demnach ist die App freiwillig. Wer mag, kann die nutzen. Wer es nicht mehr will, kann die App und alle verarbeiteten Daten löschen. Laut der Beschreibung wird die GPS-Position sowie Bluetooth-Daten ausgewertet. Damit werden im Falle iner Infektion die Kontakte alarmiert. Weiterhin sollen über die App auch die Auswirkungen der Beschränkungen gemessen werden.

Zu den Kontakten zählen alle, zu denen eine Person über einen Zeitraum von 24 Stunden länger als 15 Minuten Kontakt hat und die näher als zwei Meter war. Sobald eine Person positiv mit COVID-19 diagnostiziert wird, wird diese Information in der so genannten MSIS-Datenbank beim FHI gespeichert. Das FHI kennt die Telefonnummer, die zu dem Datensatz gehört und kann dann die Information versenden.

Die App verarbeitet einige relevante personenbezogene Informationen. Dazu gehören:

  • Handynummer
  • Alter der Person
  • GPS-Positionsdaten (kontinuierlich Aufzeichnung von Länge und Breite, Geschwindigkeit, Höhe und Uhrzeit)
  • eindeutige Nummer, die aus der Telefonnummer berechnet wird (UUID)
  • Modell des Telefons mit Betriebssystem und Versionsnummer
  • Mobilfunkbetreiber
  • Bluetooth-Daten (Start und Ende eines Kontakts, generierte UUIDs für Telefone in der Nähe, Signalstärke der Telefone in der Nähe)

Diese Daten haben eine große Eingriffstiefe und so wünscht man sich, dass die gut geschützt sind. Ein guter Nachweis hierfür wäre ein für alle lesbarer Code. Doch die norwegische Regierung war der Meinung, dass Open Source ein Sicherheitsrisiko darstellen würde. Also nahmen sich einige Hacker der App an. Es dauerte etwa eine Woche, bis die den Quellcode wiederherstellen konnten nud veröffentlichten, wie die funktioniert. Außerdem fanden sie diverse Sicherheitslücken und veröffentlichen dies auf Github:

Einer der kleineren Fehler ist ein Crash. Wenn man eine Umleitung zu msauthsimulasmittestopp://something/somethingelse einstellt, so stürzt die App ab. Hier findet ihr ein Beispiel.

Bei den Untersuchungen stellte sich heraus, dass die Bluetooth- und GPS-Daten gespeichert werden. Jede Stunde werden diese Daten an einen Zentralen Server gesendet. Die App nutzt Azure um die Daten zu speichern.

Die GPS-Daten können über eine Webseite abgefragt werden. Hierzu benötigt man eine spezielle Authentifikation durch eine Bank oder Regierung. (siehe https://twitter.com/hallny/status/1252299614344089602)

GPS-Ansicht über die Webseite

Insgesamt ist das ein schlechtes Beispiel für eine Corona-App. Schon die Aufnahme von GPS-Daten lässt die App eher wie ein Überwachungsinstrument, denn als eine sinnvolle Anwendung anmuten.

Wenn ihr mehr wissen wollte, empfehle ich die Twitter-Accounts von Johannes Brodwall und Hallvard Nygård. Der Thread hat einige Informationen.

Insgesamt klingen die Meldungen eher nach einem Totalschaden. für die Privatsphäre der Nutzerinnen und Nutzer. Man kann nur hoffen, dass die Datatilsynet einen Blick darauf wirft und korrigierende Maßnahmen trifft.