Kategorien
Allgemein

Die norwegische Corona-App Smittestop

In der nächsten Sendung sprechen Tobias und Jens über Eigenschaften einer Corona-App. Im Gespräch greifen wir bereits bestehende Apps auf und sprechen darüber. Eine war Smittestop, die Corona-App aus Norwegen.

Ein paar allgemeine Informationen zu dieser App findet sich auf der Seite des Folkehelseinstituttet (FHI), der norwegischen Gesundheitsbehörde. Demnach ist die App freiwillig. Wer mag, kann die nutzen. Wer es nicht mehr will, kann die App und alle verarbeiteten Daten löschen. Laut der Beschreibung wird die GPS-Position sowie Bluetooth-Daten ausgewertet. Damit werden im Falle iner Infektion die Kontakte alarmiert. Weiterhin sollen über die App auch die Auswirkungen der Beschränkungen gemessen werden.

Zu den Kontakten zählen alle, zu denen eine Person über einen Zeitraum von 24 Stunden länger als 15 Minuten Kontakt hat und die näher als zwei Meter war. Sobald eine Person positiv mit COVID-19 diagnostiziert wird, wird diese Information in der so genannten MSIS-Datenbank beim FHI gespeichert. Das FHI kennt die Telefonnummer, die zu dem Datensatz gehört und kann dann die Information versenden.

Die App verarbeitet einige relevante personenbezogene Informationen. Dazu gehören:

  • Handynummer
  • Alter der Person
  • GPS-Positionsdaten (kontinuierlich Aufzeichnung von Länge und Breite, Geschwindigkeit, Höhe und Uhrzeit)
  • eindeutige Nummer, die aus der Telefonnummer berechnet wird (UUID)
  • Modell des Telefons mit Betriebssystem und Versionsnummer
  • Mobilfunkbetreiber
  • Bluetooth-Daten (Start und Ende eines Kontakts, generierte UUIDs für Telefone in der Nähe, Signalstärke der Telefone in der Nähe)

Diese Daten haben eine große Eingriffstiefe und so wünscht man sich, dass die gut geschützt sind. Ein guter Nachweis hierfür wäre ein für alle lesbarer Code. Doch die norwegische Regierung war der Meinung, dass Open Source ein Sicherheitsrisiko darstellen würde. Also nahmen sich einige Hacker der App an. Es dauerte etwa eine Woche, bis die den Quellcode wiederherstellen konnten nud veröffentlichten, wie die funktioniert. Außerdem fanden sie diverse Sicherheitslücken und veröffentlichen dies auf Github:

Einer der kleineren Fehler ist ein Crash. Wenn man eine Umleitung zu msauthsimulasmittestopp://something/somethingelse einstellt, so stürzt die App ab. Hier findet ihr ein Beispiel.

Bei den Untersuchungen stellte sich heraus, dass die Bluetooth- und GPS-Daten gespeichert werden. Jede Stunde werden diese Daten an einen Zentralen Server gesendet. Die App nutzt Azure um die Daten zu speichern.

Die GPS-Daten können über eine Webseite abgefragt werden. Hierzu benötigt man eine spezielle Authentifikation durch eine Bank oder Regierung. (siehe https://twitter.com/hallny/status/1252299614344089602)

GPS-Ansicht über die Webseite

Insgesamt ist das ein schlechtes Beispiel für eine Corona-App. Schon die Aufnahme von GPS-Daten lässt die App eher wie ein Überwachungsinstrument, denn als eine sinnvolle Anwendung anmuten.

Wenn ihr mehr wissen wollte, empfehle ich die Twitter-Accounts von Johannes Brodwall und Hallvard Nygård. Der Thread hat einige Informationen.

Insgesamt klingen die Meldungen eher nach einem Totalschaden. für die Privatsphäre der Nutzerinnen und Nutzer. Man kann nur hoffen, dass die Datatilsynet einen Blick darauf wirft und korrigierende Maßnahmen trifft.

RIS42: Rückblick zum 36C3 und Emotet

Fast vier Monate gingen ins Land bevor dieser Podcast das Licht der Welt erblickte. Daher sind die besprochenen Themen auch schon etwas älter. 🙂

Tobias und ich nahmen die Sendung Anfang Januar 2020 auf. Damals kam ich recht frisch vom 36C3. Daher nimmt der Congress und verschiedene Vorträge einigen Raum in der Sendung ein.

Weiterhin war damals ein anderer Virus als derzeit in aller Munde, nämlich Emotet. Wir sprechen über die Infektion an der Uni Gießen, am Kammergericht Berlin und überlegen, wie Schutzmaßnahmen dagegen aussehen können.

Shownotes

RIS41: Das Ende naht

Zu Anfang der Sendung gehen Jens und Tobias etwas in sich. Jens ist mit den fehlenden Rückmeldungen etwas unzufrieden und überlegt, wie es mit der Sendung weitergehen soll.

Wir würden uns von euch mehr Rückmeldungen wünschen. Das können Themenwünsche sein oder Kommentare, was euch gefällt oder nicht gefällt, Vorschläge zu Interviewpartnern etc.

Derzeit überlegen wir, ob wir die Sendung pausieren und uns Gedanken über eine etwas andere Ausrichtung der Sendung machen. Alternativ ziehen wir auch ein Ende des Podcasts in Betracht. Schreibt uns daher mal eure Meinung. Was würdet ihr euch wünschen, was gefällt euch etc. Ihr könnt dazu hier einen Kommentar hinterlassen oder

In der Sendung gehen wir auf die Entscheidung des österreichischen Verfassungsgerichtshofs ein. Dieser hat den Bundestrojaner und andere Maßnahmen gestoppt. Wir sprechen über die grundsätzlichen Probleme mit diesen Maßnahmen und frühere Vorfälle in Deutschland

Später geht es um Tobias‘ Erfahrungen bei TikTok und wir schwenken auf die problematischen Moderationsregeln der Plattform.

Den Abschluss der Sendung bildet der Datengau bei Celler Ärzten. Durch einen Fehler in der Soft- und Hardware waren Patientendaten einsehbar. Schließlich berichten wir von unüblichen Plätzen, wo Kokain verkauft wurde.