In der Bildbeschreibung schrieb ich versehentlich „Version 1.2.1“, aber die gibt es (noch) nicht. Es handelt sich um Version 1.0.2 der RKI-Datenspende-App.
@chpietsch Dies sind Leute die normalerweise ihre Gesundheitsdaten online auf dem Cloud eines amoralischen Großkonzerns hochladen.
Wir müssen hier ja nicht mitmachen.
Hoffentlich bleibt das so. Die Bezeichnung als „Ausweis“ lässt mich befürchten, dass man irgendwann ohne diese App nicht mehr wahlfrei am öffentlichen Leben teilhaben kann – z.B. am öffentlichen Transport.
Und von einer App mit Ausweisfunktion erwarte ich höhere Sicherheits- und Transparenzstandards.
@chpietsch Jeder hat ja längst kein Fitnesstracker. Ein Fitnesstrackerzwang ist nicht machbar. Dann gibt es kiss-ins auf jedem Marktplatz.
@chpietsch
@VictorVenema
Euch ist der Wortwitz mit "Organspendeausweis" aber schon bewusst, oder?
@chpietsch Eventuell konnte auch einfach Code wiederverwendet werden; zumindest einen Artikel zu einer Datenspendeausweis App gesichtet in
http://www.innovationhealthpartners.de/wp-content/uploads/2017/03/Plattform-Life-Sciences-Digitale-Transformation.pdf von @schapranow@twitter.com
@maximilia @chpietsch Doch, kommt es.
@maximilia Ich hab's auch als Text:
<?xml version="1.0" encoding="utf-8" standalone="no"?><manifest xmlns:android="http://schemas.android.com/apk/res/android" android:compileSdkVersion="28" android:compileSdkVersionCodename="9" package="de.rki.coronadatenspende" platformBuildVersionCode="28" platformBuildVersionName="9">
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
<application android:appComponentFactory="androidx.core.app.CoreComponentFactory" android:icon="@mipmap/ic_launcher" android:label="Datenspende" android:name="io.flutter.app.FlutterApplication">
<activity android:configChanges="density|fontScale|keyboard|keyboardHidden|layoutDirection|locale|orientation|screenLayout|screenSize|uiMode" android:hardwareAccelerated="true" android:launchMode="singleTop" android:name="com.thryve.datenspendeausweis.MainActivity"
← da schau!
@maximilia im package der ersten activity (android:name)
@maximilia
Dass das Wort dort steht ist klar, aber beunruhigt bin ich deswegen nicht.
@chpietsch
@maximilia @hast0011 Apps, die eine hoheitliche Funktion als "Ausweis" erfüllen, müssen besonders sorgfältig programmiert sein. Und damit alle nachprüfen können, was die Apps wirklich machen, sollten sie quelloffen sein. Beides ist bei dieser #Datenspende-App nicht der Fall.
@chpietsch
Gibt es irgendeine verbindliche gesetzliche Vorgabe für öffentliche Software? Ich würde dem quellenoffen natürlich auch zustimmen. Wobei jede SW-Firma "natürlich" für sich in Anspruch nehmen wird sorgfältig vorzugehen.
@maximilia
@hast0011 @maximilia Ich bin kein Rechtsanwalt.
Setzen die nur SSL mit Server seitigem key ein, oder haben die zusätzliche Verschlüsselung, sonst könnte man vielleicht die Daten mit einem man in the middle auslesen die übertragen werden?
@utzer @chpietsch Ghidra ist ein sehr gutes Tool dafür, um Software zu analysieren.
@chpietsch
Es ist eine Android APk die sind sehr leicht zu dekompilieren und wird sich regelmäßig gemacht im Java Bereich.
@chpietsch ... Das RKI ist ein politisches Instrument und kein wissenschaftliches Institut, das im Sinne der Bevölkerung aktiv ist ...
@Mr_N
Ich frage mich immernoch, was das für ein Geschäftsmodel ist, was einer Offenlegung entgegensteht?
Kannst du etwas genauer erklären, was an diesen Metadaten für dich unberuhigend ist?
Die Berechtigungen sind nicht ungewöhnlich, und der Name „Datenspendeausweis“ ist auch nicht mehr als ein Name, und lässt keine weiteren Rückschlüsse zu.
Mit konkreten Befürchtungen könnte das RKI wenigstens Stellung beziehen...
@chpietsch Und laßt mich raten: Die App ist für diejenigen, die kein iPhone haben, nicht auf anderen Wegen als dem Google Play Store installierbar. ("Wie, das geht auch anders?") Ohne Google Play Services läuft die Android-Version überhaupt nicht. ("Ja, aber die hat doch sowieso jeder™ immer an.") Und sie telefoniert nichtanonymisierte Daten mit weder Wissen noch Zustimmung des Nutzers an mindestens Google und Facebook.
Gedächtnisstütze:
APK-Dateien kann man z.B. folgendermaßen entpacken und dekodieren …
apktool decode de-rki-coronadatenspende1586232000.apk