Schlagwort: gps

Kategorien
Allgemein

Smittestopp gestoppt

Vor etwas über einem Monat schrieb ich einen Beitrag zu Smittestop. Dies ist die Corona-App aus Norwegen. Diese speicherte GPS- und Bluetooth-Daten auf einem Azure-Server. Generell machte die App keinen guten Eindruck aus Sicht der Privatsphäre. So endete mein Beitrag mit den Worten:

Man kann nur hoffen, dass die Datatilsynet einen Blick darauf wirft und korrigierende Maßnahmen trifft.

https://insecurity.radio.fm/die-norwegische-corona-app/

Und es gibt gute Nachrichten zu vermelden. Die norwegische Datenschutzaufsichtsbehörde hat obiges getan und eine Entscheidung getroffen. Laut einer Pressemitteilung muss die Verarbeitung personenbezogener Daten beendet werden und alle bisher erfassten Daten sind zu löschen.

Die App wurde insgesamt 1,6 Millionen mal heruntergeladen und etwa 600.000 Benutzer:innen teilen die Daten mit den norwegischen Behörden. Das entspricht etwa 10 % der norwegischen Bevölkerung.

Der Bescheid der Datatylsinet lässt den Behörden bis zum 23. Juni 2020 Zeit, um die Fehler zu beheben. Die Behörde kritisiert insbesondere den Einsatz von GPS. Sie sind der Ansicht, dass dies zu tief in die Privatsphäre eingreift und im Widerspruch zu den Empfehlung der WHO sowie des europäischen Datenschutzausschusses steht.

Camilla Stoltenberg, Leiterin des Folkehelseinstituttets, sieht das natürlich anders. Sie kritisiert die Entscheidung und sieht hier eine wichtige Rolle in der Infektionsprävention. Der Journalist Henrik Moltke fragte die Firma Simula, die die App entwickelt hat, wieviele Leute gewarnt wurden. Simula reagierte nur mit einem Link auf die Gesundheitsbehörde. Darin steht, dass bisher niemand gewarnt wurde.

Die Gesundheitsbehörde hat natürlich noch große Hoffnungen an die App und will die verbessern. Warten wir ab, was hier noch passiert.

Kategorien
Allgemein

Die indische Corona-App Aarogya Setu

Nach dem Blick gestern nach Norwegen in Richtung der App Smittestop ging, soll es heute nach Indien gehen. Auch dort wurde eine Corona-App veröffentlicht: Aarogya Setu.

MHA-OrderHerunterladen

Das Ministry of Home Affairs hat eine Verordnung herausgegeben. Demnach gibt es bis Anfang Mai 2020 einen Lockdown. Es werden drei Zonen, rot, orange und grün, eingeführt:

  • grün: Keine COVID-19-Fälle in den letzten 21 Tagen
  • rot: In Abhängigkeit von der Anzahl der Fälle und der Ausbreitungsgeschwindigkeit werden Regionen als rot oder Hotspots gekennzeichnet.
  • orange. Regionen, die weder grün noch rot sind, werden als orange eingestuft.

Je nach Einstufung gibt es mehr oder weniger starke Einschränkungen. Innerhalb der roten oder orangenen Zonen werden wiederum so genannte Containment-Zonen definiert. In diesen gibt es ein signifikantes Risiko einer Ansteckung. Die lokalen Behörden müssen sicherstellen, dass alle Leute in dieser Zone die Aarogya-Setu-App installiert haben. Das heißt, im Gegensatz zu anderen Gebieten existiert hier eine Pflicht, eine solche App auf dem Telefon zu haben. Sollte dies bei Personen nicht der Fall oder diese sich weigern, so sollen 1000 Rupien Strafe oder 6 Monate Gefängnis verhangen werden.

Welche Daten sammelt die App? Die App hat eine Privacy Policy. Dort finden sich die folgenden Angaben:

  • Name
  • Telefonnummer
  • Alter
  • Geschlecht
  • Beruf
  • in den letzten 30 Tagen besuchte Länder
  • eine vom Telefon erzeugte Digitale iD (DiD)

Wenn sich nun zwei Personen in Bluetooth-Reichweite nähern, tauschen die Geräte die DiD zusammen mit der GPS-Position und der Zeit aus.

Die App verlangt in regelmäßigen Abständen eine Selbsteinschätzung. Anhand dieser Einschätzung vergibt die App wieder einen Farbcode. Nach der Einschätzung wird ebenfalls die GPS-Position mit der DiD erhoben und an einen zentralen Server übermittelt.

Aarogya Setu speichert dauerhaft die GPS-Informationen auf dem Gerät. Sobald die Person positiv getestet wurde, die Selbsteinschätzung gelb oder orange erreicht hat oder die Person COVID-19-ähnliche Symptome angibt, wird der Datensatz an einen zentralen Server übermittelt.

Die hochgeladenen Informationen können dann mit einem sehr breiten Personenkreis geteilt werden. die Privacy Policy lässt hier einen breiten medizinischen oder administrativen Personenkreis zu.

Schon das ist ein sehr tiefer Eingriff in die Privatsphäre der Nutzerinnen und Nutzer. Elliot Alderson, ein Sicherheitsforscher, hat sich verschiedene Varianten der App angeschaut. Dabei stellte er Probleme fest. So konnte er über die App abfragen, wer in einer Region infiziert ist! Aarogya Setu erlaubte es, beliebige Adressen und beliebige Radien einzugeben. Die App zeigt dann an, wieviele Personen im gewählten Umkreis positiv sind, sich unwohl fühlen, positiv über Bluetooth sind etc. Dies ist natürlich auch ein großes Desaster für die Privatsphäre.

Auf der anderen Seite veröffentlich beispielsweise der District Sas Nagar eine PDF-Datei mit den Namen und der Adressen von Leuten in Quarantäne. Auch bei WhatsApp kursieren Listen mit Leuten, die vermutlich infiziert sind.

Elliot Alderson schreibt das in einem Tweet sehr schön:

A mobile application that send your GPS coordinates regurlaly to a server owned by a government is a surveillance system.

Tweet von Elliot Alderson

Quellen