Kategorien
Allgemein

Die argentinische Corona-App CuidAR

Argentinien hat ebenfalls eine Corona-App am Start. Unter dem Namen CuidAR kann diese im Play Store und im AppStore heruntergeladen werden.

Die ist als Tracing-App und zur Selbstdiagnose angelegt. Nach der Installation fragt die App verschiedene personenbezogene Daten ab. Dazu gehören:

  • Name
  • Adresse
  • Telefonnummer
  • Ausweisdaten
  • Gesundheitsdaten wie Körpertemperatur und anderes

Angeblich wird garantiert, dass nur die Gesundheitsbehörden darauf zugreifen können.

Nach der Eingabe der Gesundheitsdaten bewertet die App diese. Je nachdem, zu welcher Einschätzung sie kommt, können die Nutzerinnen und Nutzer weiter am Leben teilnehmen, in Quarantäne gehen oder werden ins Krankenhaus geschickt.

Im letzteren Fall wird auch ein Alarm an die Gesundheitsbehörden ausgelöst oder die Leute werden aufgefordert, die Behörden zu kontaktieren. Dies konnte ich bisher aus den Presseartikeln nicht herauslesen.

Papst Franziskus

Martin Tschirsich wies bei Twitter auf einen interessanten Fakt hin. Wenn jemand die App neu installiert, müssen nur die Ausweisdaten eingegeben werden. Der Rest wird von einem zentralen Server heruntergeladen. Das heißt, wenn es jemandem möglich ist, die Ausweisdaten irgendwoher zu bekommen, kann man den COVID-Status der Person erfragen. Außerdem könnte man auch den Status dann selbst setzen. Martin hat das am Beispiel von Jorge Mario Bergoglio (auch bekannt als Der Papst) gezeigt.

Es gibt auch widersprüchliche Angaben, ob die Benutzung der App nun verpflichtend ist oder nicht. Der Präsident Alberto Fernández sagte, dass die Benutzung eine Vorbedingung für die Rückkehr an den Arbeitsplatz ist. Später wurde dies von anderen relativiert.

Aus meiner Sicht reiht sich CuidAR in die schon betrachteten Apps Smittestop und Aarogya Setu ein, Totalschaden für die Privatsphäre. Immerhin hat die argentinische Regierung einen Audit der Software in Aussicht gestellt.

Quellen

RIS43: Corona, was sonst?

Tobias und Jens haben sich im Mai 2020 in ungewöhnlichem Setup getroffen. Wir versuchen langsam wieder den normalen Sendungsbetrieb aufzunehmen und haben eine erste Testsendung aufgenommen.

Anfangs sprachen wir kurz über unsere individuelle Situation, d.h. Arbeiten und Schule von zu Hause. Dann ging es um das Hauptthema: die so genannten Corona-Apps.

Wir versuchen in der Sendung zu klären, was der Sinn von derartigen Apps ist.

Shownotes

Kontakt

Radio (In)Security unterstützen

Kategorien
Allgemein

Die indische Corona-App Aarogya Setu

Nach dem Blick gestern nach Norwegen in Richtung der App Smittestop ging, soll es heute nach Indien gehen. Auch dort wurde eine Corona-App veröffentlicht: Aarogya Setu.

MHA-OrderHerunterladen

Das Ministry of Home Affairs hat eine Verordnung herausgegeben. Demnach gibt es bis Anfang Mai 2020 einen Lockdown. Es werden drei Zonen, rot, orange und grün, eingeführt:

  • grün: Keine COVID-19-Fälle in den letzten 21 Tagen
  • rot: In Abhängigkeit von der Anzahl der Fälle und der Ausbreitungsgeschwindigkeit werden Regionen als rot oder Hotspots gekennzeichnet.
  • orange. Regionen, die weder grün noch rot sind, werden als orange eingestuft.

Je nach Einstufung gibt es mehr oder weniger starke Einschränkungen. Innerhalb der roten oder orangenen Zonen werden wiederum so genannte Containment-Zonen definiert. In diesen gibt es ein signifikantes Risiko einer Ansteckung. Die lokalen Behörden müssen sicherstellen, dass alle Leute in dieser Zone die Aarogya-Setu-App installiert haben. Das heißt, im Gegensatz zu anderen Gebieten existiert hier eine Pflicht, eine solche App auf dem Telefon zu haben. Sollte dies bei Personen nicht der Fall oder diese sich weigern, so sollen 1000 Rupien Strafe oder 6 Monate Gefängnis verhangen werden.

Welche Daten sammelt die App? Die App hat eine Privacy Policy. Dort finden sich die folgenden Angaben:

  • Name
  • Telefonnummer
  • Alter
  • Geschlecht
  • Beruf
  • in den letzten 30 Tagen besuchte Länder
  • eine vom Telefon erzeugte Digitale iD (DiD)

Wenn sich nun zwei Personen in Bluetooth-Reichweite nähern, tauschen die Geräte die DiD zusammen mit der GPS-Position und der Zeit aus.

Die App verlangt in regelmäßigen Abständen eine Selbsteinschätzung. Anhand dieser Einschätzung vergibt die App wieder einen Farbcode. Nach der Einschätzung wird ebenfalls die GPS-Position mit der DiD erhoben und an einen zentralen Server übermittelt.

Aarogya Setu speichert dauerhaft die GPS-Informationen auf dem Gerät. Sobald die Person positiv getestet wurde, die Selbsteinschätzung gelb oder orange erreicht hat oder die Person COVID-19-ähnliche Symptome angibt, wird der Datensatz an einen zentralen Server übermittelt.

Die hochgeladenen Informationen können dann mit einem sehr breiten Personenkreis geteilt werden. die Privacy Policy lässt hier einen breiten medizinischen oder administrativen Personenkreis zu.

Schon das ist ein sehr tiefer Eingriff in die Privatsphäre der Nutzerinnen und Nutzer. Elliot Alderson, ein Sicherheitsforscher, hat sich verschiedene Varianten der App angeschaut. Dabei stellte er Probleme fest. So konnte er über die App abfragen, wer in einer Region infiziert ist! Aarogya Setu erlaubte es, beliebige Adressen und beliebige Radien einzugeben. Die App zeigt dann an, wieviele Personen im gewählten Umkreis positiv sind, sich unwohl fühlen, positiv über Bluetooth sind etc. Dies ist natürlich auch ein großes Desaster für die Privatsphäre.

Auf der anderen Seite veröffentlich beispielsweise der District Sas Nagar eine PDF-Datei mit den Namen und der Adressen von Leuten in Quarantäne. Auch bei WhatsApp kursieren Listen mit Leuten, die vermutlich infiziert sind.

Elliot Alderson schreibt das in einem Tweet sehr schön:

A mobile application that send your GPS coordinates regurlaly to a server owned by a government is a surveillance system.

Tweet von Elliot Alderson

Quellen