RIS43: Corona, was sonst?

Tobias und Jens haben sich im Mai 2020 in ungewöhnlichem Setup getroffen. Wir versuchen langsam wieder den normalen Sendungsbetrieb aufzunehmen und haben eine erste Testsendung aufgenommen.

Anfangs sprachen wir kurz über unsere individuelle Situation, d.h. Arbeiten und Schule von zu Hause. Dann ging es um das Hauptthema: die so genannten Corona-Apps.

Wir versuchen in der Sendung zu klären, was der Sinn von derartigen Apps ist.

Shownotes

Kontakt

Radio (In)Security unterstützen

Kategorien
Allgemein

Die indische Corona-App Aarogya Setu

Nach dem Blick gestern nach Norwegen in Richtung der App Smittestop ging, soll es heute nach Indien gehen. Auch dort wurde eine Corona-App veröffentlicht: Aarogya Setu.

Das Ministry of Home Affairs hat eine Verordnung herausgegeben. Demnach gibt es bis Anfang Mai 2020 einen Lockdown. Es werden drei Zonen, rot, orange und grün, eingeführt:

  • grün: Keine COVID-19-Fälle in den letzten 21 Tagen
  • rot: In Abhängigkeit von der Anzahl der Fälle und der Ausbreitungsgeschwindigkeit werden Regionen als rot oder Hotspots gekennzeichnet.
  • orange. Regionen, die weder grün noch rot sind, werden als orange eingestuft.

Je nach Einstufung gibt es mehr oder weniger starke Einschränkungen. Innerhalb der roten oder orangenen Zonen werden wiederum so genannte Containment-Zonen definiert. In diesen gibt es ein signifikantes Risiko einer Ansteckung. Die lokalen Behörden müssen sicherstellen, dass alle Leute in dieser Zone die Aarogya-Setu-App installiert haben. Das heißt, im Gegensatz zu anderen Gebieten existiert hier eine Pflicht, eine solche App auf dem Telefon zu haben. Sollte dies bei Personen nicht der Fall oder diese sich weigern, so sollen 1000 Rupien Strafe oder 6 Monate Gefängnis verhangen werden.

Welche Daten sammelt die App? Die App hat eine Privacy Policy. Dort finden sich die folgenden Angaben:

  • Name
  • Telefonnummer
  • Alter
  • Geschlecht
  • Beruf
  • in den letzten 30 Tagen besuchte Länder
  • eine vom Telefon erzeugte Digitale iD (DiD)

Wenn sich nun zwei Personen in Bluetooth-Reichweite nähern, tauschen die Geräte die DiD zusammen mit der GPS-Position und der Zeit aus.

Die App verlangt in regelmäßigen Abständen eine Selbsteinschätzung. Anhand dieser Einschätzung vergibt die App wieder einen Farbcode. Nach der Einschätzung wird ebenfalls die GPS-Position mit der DiD erhoben und an einen zentralen Server übermittelt.

Aarogya Setu speichert dauerhaft die GPS-Informationen auf dem Gerät. Sobald die Person positiv getestet wurde, die Selbsteinschätzung gelb oder orange erreicht hat oder die Person COVID-19-ähnliche Symptome angibt, wird der Datensatz an einen zentralen Server übermittelt.

Die hochgeladenen Informationen können dann mit einem sehr breiten Personenkreis geteilt werden. die Privacy Policy lässt hier einen breiten medizinischen oder administrativen Personenkreis zu.

Schon das ist ein sehr tiefer Eingriff in die Privatsphäre der Nutzerinnen und Nutzer. Elliot Alderson, ein Sicherheitsforscher, hat sich verschiedene Varianten der App angeschaut. Dabei stellte er Probleme fest. So konnte er über die App abfragen, wer in einer Region infiziert ist! Aarogya Setu erlaubte es, beliebige Adressen und beliebige Radien einzugeben. Die App zeigt dann an, wieviele Personen im gewählten Umkreis positiv sind, sich unwohl fühlen, positiv über Bluetooth sind etc. Dies ist natürlich auch ein großes Desaster für die Privatsphäre.

Auf der anderen Seite veröffentlich beispielsweise der District Sas Nagar eine PDF-Datei mit den Namen und der Adressen von Leuten in Quarantäne. Auch bei WhatsApp kursieren Listen mit Leuten, die vermutlich infiziert sind.

Elliot Alderson schreibt das in einem Tweet sehr schön:

A mobile application that send your GPS coordinates regurlaly to a server owned by a government is a surveillance system.

Tweet von Elliot Alderson

Quellen