Follow

Ich finde es nicht in Ordnung, wenn das Leute dazu aufruft, Software zu installieren, deren Quellcode geheimgehalten wird – wie im Fall der --.

Das Wenige, das die -Datei verrät, finde ich beunruhigend: Der interne Name ist „Datenspendeausweis“!

Gedächtnisstütze:

APK-Dateien kann man z.B. folgendermaßen entpacken und dekodieren …

apktool decode de-rki-coronadatenspende1586232000.apk

Show thread

In der Bildbeschreibung schrieb ich versehentlich „Version 1.2.1“, aber die gibt es (noch) nicht. Es handelt sich um Version 1.0.2 der RKI-Datenspende-App.

Show thread

@chpietsch Dies sind Leute die normalerweise ihre Gesundheitsdaten online auf dem Cloud eines amoralischen Großkonzerns hochladen.

Wir müssen hier ja nicht mitmachen.

@VictorVenema

Hoffentlich bleibt das so. Die Bezeichnung als „Ausweis“ lässt mich befürchten, dass man irgendwann ohne diese App nicht mehr wahlfrei am öffentlichen Leben teilhaben kann – z.B. am öffentlichen Transport.

Und von einer App mit Ausweisfunktion erwarte ich höhere Sicherheits- und Transparenzstandards.

@chpietsch Jeder hat ja längst kein Fitnesstracker. Ein Fitnesstrackerzwang ist nicht machbar. Dann gibt es kiss-ins auf jedem Marktplatz.

@chpietsch
@VictorVenema
Euch ist der Wortwitz mit "Organspendeausweis" aber schon bewusst, oder?

@chpietsch Eventuell konnte auch einfach Code wiederverwendet werden; zumindest einen Artikel zu einer Datenspendeausweis App gesichtet in
innovationhealthpartners.de/wp von @schapranow@twitter.com

@chpietsch bin ich der einzige, den es stört, dass im bild kein einziges mal das wort "datenspendeausweis" vorkommt?

@maximilia Ich hab's auch als Text:

<?xml version="1.0" encoding="utf-8" standalone="no"?><manifest xmlns:android="schemas.android.com/apk/res/an" android:compileSdkVersion="28" android:compileSdkVersionCodename="9" package="de.rki.coronadatenspende" platformBuildVersionCode="28" platformBuildVersionName="9">
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
<application android:appComponentFactory="androidx.core.app.CoreComponentFactory" android:icon="@mipmap/ic_launcher" android:label="Datenspende" android:name="io.flutter.app.FlutterApplication">
<activity android:configChanges="density|fontScale|keyboard|keyboardHidden|layoutDirection|locale|orientation|screenLayout|screenSize|uiMode" android:hardwareAccelerated="true" android:launchMode="singleTop" android:name="com.thryve.datenspendeausweis.MainActivity"

← da schau!

@hast0011 @chpietsch Nachdem es mir schon zwei andere erklärt haben, hilft mir ein drittes Mal nicht weiter

@maximilia
Dass das Wort dort steht ist klar, aber beunruhigt bin ich deswegen nicht.
@chpietsch

@hast0011 @chpietsch Ja sag das doch dem Herrn Pietsch. Ich hab auch einen Organspendeausweis und der ist mit dem Tod verbunden.

@maximilia @hast0011 Apps, die eine hoheitliche Funktion als "Ausweis" erfüllen, müssen besonders sorgfältig programmiert sein. Und damit alle nachprüfen können, was die Apps wirklich machen, sollten sie quelloffen sein. Beides ist bei dieser -App nicht der Fall.

@chpietsch
Gibt es irgendeine verbindliche gesetzliche Vorgabe für öffentliche Software? Ich würde dem quellenoffen natürlich auch zustimmen. Wobei jede SW-Firma "natürlich" für sich in Anspruch nehmen wird sorgfältig vorzugehen.
@maximilia

@chpietsch kann man so Apps nicht dekompilieren, sicher nicht einfach, aber sollte das nicht irgendwie gehen?

Setzen die nur SSL mit Server seitigem key ein, oder haben die zusätzliche Verschlüsselung, sonst könnte man vielleicht die Daten mit einem man in the middle auslesen die übertragen werden?

@utzer @chpietsch Ghidra ist ein sehr gutes Tool dafür, um Software zu analysieren.

@utzer

@chpietsch
Es ist eine Android APk die sind sehr leicht zu dekompilieren und wird sich regelmäßig gemacht im Java Bereich.

@chpietsch ... Das RKI ist ein politisches Instrument und kein wissenschaftliches Institut, das im Sinne der Bevölkerung aktiv ist ...

@Ꮯhristian Ꮲietsch ?
@Mr_N
Ich frage mich immernoch, was das für ein Geschäftsmodel ist, was einer Offenlegung entgegensteht?

@chpietsch @Drezil

Kannst du etwas genauer erklären, was an diesen Metadaten für dich unberuhigend ist?

Die Berechtigungen sind nicht ungewöhnlich, und der Name „Datenspendeausweis“ ist auch nicht mehr als ein Name, und lässt keine weiteren Rückschlüsse zu.

Mit konkreten Befürchtungen könnte das RKI wenigstens Stellung beziehen...

@chpietsch Und laßt mich raten: Die App ist für diejenigen, die kein iPhone haben, nicht auf anderen Wegen als dem Google Play Store installierbar. ("Wie, das geht auch anders?") Ohne Google Play Services läuft die Android-Version überhaupt nicht. ("Ja, aber die hat doch sowieso jeder™ immer an.") Und sie telefoniert nichtanonymisierte Daten mit weder Wissen noch Zustimmung des Nutzers an mindestens Google und Facebook.

Sign in to participate in the conversation
digitalcourage.social

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!