Nach dem Blick gestern nach Norwegen in Richtung der App Smittestop ging, soll es heute nach Indien gehen. Auch dort wurde eine Corona-App veröffentlicht: Aarogya Setu.
Das Ministry of Home Affairs hat eine Verordnung herausgegeben. Demnach gibt es bis Anfang Mai 2020 einen Lockdown. Es werden drei Zonen, rot, orange und grün, eingeführt:
- grün: Keine COVID-19-Fälle in den letzten 21 Tagen
- rot: In Abhängigkeit von der Anzahl der Fälle und der Ausbreitungsgeschwindigkeit werden Regionen als rot oder Hotspots gekennzeichnet.
- orange. Regionen, die weder grün noch rot sind, werden als orange eingestuft.
Je nach Einstufung gibt es mehr oder weniger starke Einschränkungen. Innerhalb der roten oder orangenen Zonen werden wiederum so genannte Containment-Zonen definiert. In diesen gibt es ein signifikantes Risiko einer Ansteckung. Die lokalen Behörden müssen sicherstellen, dass alle Leute in dieser Zone die Aarogya-Setu-App installiert haben. Das heißt, im Gegensatz zu anderen Gebieten existiert hier eine Pflicht, eine solche App auf dem Telefon zu haben. Sollte dies bei Personen nicht der Fall oder diese sich weigern, so sollen 1000 Rupien Strafe oder 6 Monate Gefängnis verhangen werden.
Welche Daten sammelt die App? Die App hat eine Privacy Policy. Dort finden sich die folgenden Angaben:
- Name
- Telefonnummer
- Alter
- Geschlecht
- Beruf
- in den letzten 30 Tagen besuchte Länder
- eine vom Telefon erzeugte Digitale iD (DiD)
Wenn sich nun zwei Personen in Bluetooth-Reichweite nähern, tauschen die Geräte die DiD zusammen mit der GPS-Position und der Zeit aus.
Die App verlangt in regelmäßigen Abständen eine Selbsteinschätzung. Anhand dieser Einschätzung vergibt die App wieder einen Farbcode. Nach der Einschätzung wird ebenfalls die GPS-Position mit der DiD erhoben und an einen zentralen Server übermittelt.
Aarogya Setu speichert dauerhaft die GPS-Informationen auf dem Gerät. Sobald die Person positiv getestet wurde, die Selbsteinschätzung gelb oder orange erreicht hat oder die Person COVID-19-ähnliche Symptome angibt, wird der Datensatz an einen zentralen Server übermittelt.
Die hochgeladenen Informationen können dann mit einem sehr breiten Personenkreis geteilt werden. die Privacy Policy lässt hier einen breiten medizinischen oder administrativen Personenkreis zu.
Schon das ist ein sehr tiefer Eingriff in die Privatsphäre der Nutzerinnen und Nutzer. Elliot Alderson, ein Sicherheitsforscher, hat sich verschiedene Varianten der App angeschaut. Dabei stellte er Probleme fest. So konnte er über die App abfragen, wer in einer Region infiziert ist! Aarogya Setu erlaubte es, beliebige Adressen und beliebige Radien einzugeben. Die App zeigt dann an, wieviele Personen im gewählten Umkreis positiv sind, sich unwohl fühlen, positiv über Bluetooth sind etc. Dies ist natürlich auch ein großes Desaster für die Privatsphäre.
Auf der anderen Seite veröffentlich beispielsweise der District Sas Nagar eine PDF-Datei mit den Namen und der Adressen von Leuten in Quarantäne. Auch bei WhatsApp kursieren Listen mit Leuten, die vermutlich infiziert sind.
Elliot Alderson schreibt das in einem Tweet sehr schön:
A mobile application that send your GPS coordinates regurlaly to a server owned by a government is a surveillance system.
Tweet von Elliot Alderson
Quellen
- Lockdown Extension: Aarogya Setu mandatory for all employees & in containment zones
- Our Concerns With The Aarogya Setu App
- Shashi Tharoor: Aarogya Setu fits right in with Modi govt’s push for greater state control
- No Aarogya Setu app? Pay Rs 1,000 fine or face 6 months jail in Noida
- Aarogya Setu: The story of a failure
- India is forcing people to use its covid app, unlike any other democracy
Eine Antwort auf „Die indische Corona-App Aarogya Setu“
[…] meiner Sicht reiht sich CuidAR in die schon betrachteten Apps Smittestop und Aarogya Setu ein, Totalschaden für die Privatsphäre. Immerhin hat die argentinische Regierung einen Audit der […]