News Corona-Tracing-App: Entwickler veröffentlichen Quellcode und Screenshots

[new Account()]

Dann sind innerhalb weniger Tage alle Menschen in D eingesperrt top

Auf welchen Zahlen beruht deine Annahme?

 

[Computerfuchs]

Wie ich geschrieben hatte:

Die App ist zwar open source, ein guter Teil der Logik befindet sich aber in den Google Play Services/iOS und ist damit closed source.

Ok, das ist natürlich nicht so schön. Wenn es um die Frage geht, ob die App vertrauenswürdig ist, muss man aber schon klar differenzieren zwischen der App selbst und den direkt ins Betriebssystem implementierten APIs, auf die die App zwar zugreift, die aber keine Bestandteile der App selbst sind.

Auf der einen Seite musst du Apple bzw. Google vertrauen. Hast du dabei Zweifel (was durchaus berechtigt wäre), gibt es nur eine einzige Möglichkeit, wie du dich demgegenüber absicher kannst: Du darfst Play Services/iOS nicht nutzen! Bedeutet also du brauchst ein Android-System auf Basis von AOSP ohne Google-Dienste oder verzichtest gleich komplett auf ein modernes Smartphone.

Auf der anderen Seite musst du den Entwicklern der App vertrauen, in diesem Fall also der Telekom, SAP und unserer Bundesregierung. Hast du hier kein Vertrauen, hast du zwei Möglichkeiten: Entweder die App nicht nutzen oder den Quellcode prüfen.

Was aber definitiv keinen Sinn ergibt, ist, wenn man beides in einen Topf wirft und dann am Ende zwar sein Smartphone inkl. Google-Dienste bzw. iOS weiterhin nutzt, gleichzeitig aber auf die Corona-Tracing-App verzichtet, mit der Begründung, diese sei nicht vertrauenswürdig, weil sie auf closed source Bestandteile von Google Play Services/iOS zugreift, deren Funktionsweise nicht nachvollziehbar ist. Sicher richtig, dass es hier ein Problem gibt. Aber Verzicht auf die App löst das nicht. Die fragwürdigen closed source Teile kommen ja nicht erst zusammen mit der App aufs Telefon, sondern sind als Bestandteil des Betriebssystem schon lange davor längst da. Durch Verzicht auf was anders, wird man die nicht los. So lange du Play Services oder iOS auf deinem Handy installiert hast, musst du zwangsläufig Google bzw. Apple vertrauen und hoffen, dass die in ihrem close source code kein Schindluder treiben. Und zwar völlig unabhängig davon, welche Apps du dann noch zusätzlich installierst oder auch nicht.

 

[D708]

clever, millionen für die app-entwicklung kassieren und reviews/fixes/verbesserungen von der community machen lassen.

Was hätten die sonst machen sollen? Was wäre die Alternative gewesen? Im Hinterzimmer was aushecken und dann verschlüsselt auf den Markt werfen? Manchen Leuten kann man es auch nicht recht machen.

Und davon ab, schonmal einen Blick in des Sourcecode geworfen? Kann nicht sein, sonst wäre nicht so ein Kommentar gekommen. Die App ist fertig und wird mit der Veröffentlichung quasi einem „Betatest“ unterzogen. Es geht nicht besser als dieser Prozess, um eine so sensible App frei zu geben.

 

[fatony]

clever, millionen für die app-entwicklung kassieren und reviews/fixes/verbesserungen von der community machen lassen.

jetzt reicht es aber ^^ man kann es der community echt nie recht machen.

wird der code nicht veröffentlicht und behält der developer alle rechte für sich samt idee etc. etc. -> "dubios" "nebulöse app entwicklungspolitik" "#nsa" "#snowden"

wird der code veröffentlicht und die community kann sogar mitentwickeln und ggf. die richtung der app-ethik mitbestimmen -> "boah voll die cash cows" "lassen sich alles von der community machen" "machen nichts selbst" "blablabla"

und das beste dann noch obendrauf: dein profilbild. Python. Mehr sage ich nicht dazu, außer dich zu bitten, dass du konstruktive kritik gibst, indem du bspw. sagst, wie sie es hätten besser machen können. die haben ihre ganze zeit darin investiert und das für den guten zweck und sorgen für transparenz. von irgendwas müssen sich aber noch leben. deswegen gönne ich denen auch die potenziellen einnahmen, die sie dadurch machen.

lg
fatony

 

[harrysun]

Bei den Apps geht es zu wie bei den Grenzschließungen vor dem lockdown: Jeder für sich und alle gegeneinander. Ich fahre im Urlaub ins europäische Ausland. Na dann bin ja mal gespannt wie viele Europäer die App haben werden

 

[n8mahr]

Der Staat sollte sich als US-amerikanisches Unternehmen aus dem Silicon Valley tarnen, [---] seinen persönlichen Daten Profile zu erstellen und ihn daraufhin für seine Zwecke zu benutzen und für die eigenen Ziele gefügig zu machen und zu missbrauchen.

Guter Vergleich, trifft es eigentlich sehr gut, ich musste lachen
Aber einen gewichtigen Unterschied gibt es doch: Amazon et al. haben noch keine Exekutivgewalt. Sie wollen dir derzeit nur ihre Produkte andrehen, die du kaufen kannst, aber nicht musst. Die einzelen Regierungen verkaufen eher weniger Produkte, haben jedoch die sog. "Staatsgewalt", die einem - je nach Lebensraum - unangenehmer werden kann als zB ein Bestellverbot bei Amazon.

Aber BTT:
die veröffentlichung des Quellcodes sollte eigentlich für JEDE Software, die nicht in hochsensiblen Bereichen in der öff. Verwaltung verwendet wird, zwangsweise erfolgen. Transparenz bis ins letzte Detail ist nur gut und richtig.

 

[D708]

„Zitat von Computerfuchs:
Du kannst selbst ganz genau, bis ins letzte Detail prüfen, was die App macht und was nicht“

Nö, das kann man nicht.

dafür kann man aber nicht dem CWA Team an den Karren pissen. Da muss man schon bei Google/Apple anfragen, aber da wird nichts kommen.

Aber da man schon vorher mit der Benutzung eines dieser App-Kompatiblen Smartphones diese Schwachstelle in Kauf genommen hat,
erscheint mir dieses Argument äußerst schwach.
Ist ein bisschen so, wie sich bei Facebook über die Datensammelei auszulassen. Oder wie dieses schöne Bild der Anarchofrau, die auf ihre Iphonehülle „Fuck capitalsim“ geschrieben hat.

 

[nr-Thunder]

@harrysun Sieht schlecht aus. Die aktuell veröffentlichte französische Corona-App ist nicht kompatibel mit der deutschen. https://www.merkur.de/politik/coron...frankreich-problem-stopcovid-zr-13716804.html

 

[Palomino]

Aber in einer freien Demokratie wie unserer werden so eine App wohl nicht genügend Leute nutzen. Das funktioniert eher in Diktaturen wie China, wo einfach jeder gezwungen wird, die App zu benutzen...

In einer Diktatur werden die Menschen einfach mit einer totalen Ausgangs- und Kontaktsperre belegt. Eine Tracing App wäre da sogar eine Verbesserung gegenüber der vorhandenen Totalüberwachung. Da macht man sich erst gar nicht die Mühe für so eine App.

Bei den Apps geht es zu wie bei den Grenzschließungen vor dem lockdown: Jeder für sich und alle gegeneinander. Ich fahre im Urlaub ins europäische Ausland. Na dann bin ja mal gespannt wie viele Europäer die App haben werden

Selbst wenn nicht "ausreichend viele Menschen" die App nutzen ist trotzdem jede Möglichkeit um potentiell Infizierte zu warnen und ausfindig zu machen ein Vorteil. Insbesondere dann wenn die betroffenen keine Symptome aufweisen.

 

[Lord B.]

Du kannst selbst ganz genau, bis ins letzte Detail prüfen, was die App macht und was nicht.

Du hast es nicht verstanden, es geht nicht darum was die App macht sondern was die dahinter MIT der App machen, denk mal über diese Aussage nach, vielleicht verstehst du dann meine Aussage.

 

[G00fY]

Dies erfüllt meine Definition von "open source" überhaupt nicht.

Edit: Unten fasst der User das noch mal gut zusammen: "After getting more into details the impression is that the app will be more like a front-end to closed-source proximity tracing engine running inside Google Play services."

Mit dieser Argumentationslogik hätte SAP auch direkt für sämtliche Hardwarehersteller noch open-source Bluetooth Treiber und Firmware bereitstellen müssen...

Die Play Services/iOS sind seit jeher closed source und das hat bislang auch niemanden von der Nutzung abgehalten. Zudem strebst du da etwas an, was in der Form mehr ein Wunschgedanke ist. Weiß nicht ob du dich mal mit dem Linux Kernel beschäftigt hast, aber auch dort ist ein Großteil closed source.
Und das sind alles Punkte die weder neu sind, noch etwas direkt mit dieser App zu tun haben.

 

[WolfLink]

Die App ansich ist Open Source, dass du ein OS nutzt welches (teils) Closed Source ist, ist ja nicht schuld der App

Naja, die App läuft ja nicht einfach nur auf einem closed source Betetriebssystem, sie lagert auch viele elementare Funktionen auf diese closed source-Bestandteile aus. Mir ist natürlich klar, dass es dafür leider keine Alternative gibt, weil Apple & Google dies auf ihren Betriebssystemen derzeit nur auf diesem Weg erlauben.

Ich wollte nur darauf hinweisen, dass die Bezeichnung "open source" im Hinblick auf diese App stark verkürzt ist und vieles dadurch nicht im Quelltext einsehbar ist.

Was aber definitiv keinen Sinn ergibt, ist, wenn man beides in einen Topf wirft und dann am Ende zwar sein Smartphone inkl. Google-Dienste bzw. iOS weiterhin nutzt, gleichzeitig aber auf die Corona-Tracing-App verzichtet, mit der Begründung, diese sei nicht vertrauenswürdig, weil sie auf closed source Bestandteile von Google Play Services/iOS zugreift, deren Funktionsweise nicht nachvollziehbar ist.

Ich stimme dir da 100% zu.

Ich finde es auch befremdlich, dass einige Leute diese Schnittstelle nun zum Anlass nehmen, Verschwörungstheorien über Apple, Google und die BRD zu streuen. Das Scannen nach Bluetooth-Geräten können Smartphones bereits von Anfang an - dafür braucht es keine Corona-App. Das Scannen nach Bluetooth-Geräten & WLANs wird zumindest von Google ohnehin bereits seit Jahren zur Ortung verwendet - wenn man es nicht deaktiviert.

Wie Abschnitt oben bereits gesagt: Ich wollte nur darauf hinweisen, dass die Bezeichnung "open source" im Hinblick auf diese App stark verkürzt ist und vieles dadurch nicht im Quelltext einsehbar ist. Es gibt neben der Vertrauenswürdigkeit ja auch noch viele weitere Punkte, wofür eine Einsicht in den (vollen) Quellcode notwendig/wichtig wäre - und dies ist nach dem derzeitigen Stand mit dieser App/Lösung leider nicht möglich. Die 10 Prüfsteine vom CCC werden so jedenfalls nicht eingehalten.

Ich würde mir einfach eine präzisere Wortwahl von Journalisten wünschen.

 

[G00fY]

Ich wollte nur darauf hinweisen, dass die Bezeichnung "open source" im Hinblick auf diese App stark verkürzt ist und vieles dadurch nicht im Quelltext einsehbar ist.
[...]
Wie Abschnitt oben bereits gesagt: Ich wollte nur darauf hinweisen, dass die Bezeichnung "open source" im Hinblick auf diese App stark verkürzt ist und vieles dadurch nicht im Quelltext einsehbar ist.

So differenziert hast du das vorher aber nicht rübergebracht. Meine Befürchtung ist, dass dein vorheriger Post einfach die falschen Leute bekräftigt.
Und du kannst auch nicht von jedem Journalisten erwarten, dass es sich mit solchen fachspezifischen Details auskennt. Sobald hier der CCC o.ä. eine Einschätzung zu gibt, kannst du sicher sein dass CB darüber berichtet.

Dennoch, per Definition ist die App 100% Open Source. Das proprietäre APIs der OS Hersteller (die ohnehin den maximal möglichen Zugriff haben) verwendet werden, ist meiner Meinung nach ein unvermeidbarer Punkt. Man muss aber ganz vehement den Leuten widersprechen, die meinen der Staat würde seine Bürger gezielt überwachen. Der App und Server-Quellcode lässt bislang wenig Spielraum für Kritik.

 

[Taron]

Natürlich wird die App ausschlagen. Wenn ich z.B. einkaufen gehe und an einer anderen Person vorbei laufe. Das bedeutet aber noch lange nicht, dass ich mich angesteckt habe.

Ich bin mir ziemlich sicher, dass es weitere Bedingungen für einen positiven Kontakt geben wird um False-positives möglichst zu vermeiden. Kontaktdauer (ganz wichtig, denn nur wegen dem Vorbei laufen steckt man sich nicht an), Entfernung zum Kontakt (soweit per BLE überhaupt erfassbar), ggf. Örtlichkeit.
False-positives wird es dennoch geben, allerdings sicherlich nicht so viele, wie anfangs vermutet. Komplett dumm wird die App bzw. die Logik dahinter auch nicht sein, hoffe ich mal.

Kritischer sehe ich eher die nicht (quell)offene Implementierung der Bluetooth-Schnittstelle im OS selber. Aber man muss lobend anerkennen, dass überhaupt der Quellcode der App selber vorliegt, denn sowas war bei staatlichen Stellen bis vor kurzem nicht unbedingt selbstverständlich...

 

[Skidrow]

Guter Vergleich, trifft es eigentlich sehr gut, ich musste lachen

Aber einen gewichtigen Unterschied gibt es doch: Amazon et al. haben noch keine Exekutivgewalt. Sie wollen dir derzeit nur ihre Produkte andrehen, die du kaufen kannst, aber nicht musst. Die einzelen Regierungen verkaufen eher weniger Produkte, haben jedoch die sog. "Staatsgewalt", die einem - je nach Lebensraum - unangenehmer werden kann als zB ein Bestellverbot bei Amazon.

Es ist hoffentlich nicht dein Ernst, dass du die Risiken eines Machtmissbrauchs seitens Amazon oder Google mit einem "Bestellverbot" gleichsetzt. Du erinnerst mich an Cypher aus "The Matrix", als er ins Steak beißt
.
Google kontrolliert quasi das gesamte Internet. 3 Milliarden Smartphones weltweit sind abhängig von Google. ÜBer 80 Prozent der Smartphones funktionieren quasi nicht ohne Google. Google hat nicht nur damals Android Inc gekauft sondern auch Youtube und viele andere Projekte. Wer sich nicht unterordnet und die googelsche Infrastruktur nutzt, wird aufgekauft und so wächst Google weiter.
Ökonomische Macht kann man sehr leicht in politische Macht umsetzen. Und in welche Bereiche Alphabet investiert, die weit über Internet und technische Konsumprodukte hinaus gehen, kannst du ja mal nachlesen.

Und immerhin untersteht der deutsche Staat der Verfassung und dem Grundgesetz. Das Silicon Valley untersteht nur den Gewinnerwartungen der Investoren. Und wenn man die Propheten des Silicon Valley reden hört, läuft es zumindest mir kalt den Rücken herunter. Sie halten den Menschen für optimierungsbedürftig und streben eine Verschmelzung von Mensch und Maschine an. Nur mit einem Chip im Gehirn erscheint ihnen der Homo sapiens optimal. Alles muss technisch gelöst werden. Die Bienen sterben aus? Dann machen wir Roboterbienen (schon Realität).

 

[Computerfuchs]

Du hast es nicht verstanden, es geht nicht darum was die App macht sondern was die dahinter MIT der App machen, denk mal über diese Aussage nach, vielleicht verstehst du dann meine Aussage.

Worum es am Ende des Tages geht, ist Datenschutz. Wenn wir, so wie es jetzt geplant ist, ein dezentrales System bekommen, bleiben die Daten lokal auf dem Smartphone gespeichert und "die dahinter" haben keinen Zugriff darauf. Das ist so ziemlich die beste Garantie für die Einhaltung des Datenschutzes, die wir bekommen können. Natürlich werden jetzt einige Verschwörungstheoretiker sofort hellhörig werden und sagen "bestimmt gibt es da eine Hintertür". Mit dieser Unterstellung einer Hintertür, sind wir dann aber wieder genau an dem Punkt, wo es darum geht, was die App macht, bzw. genauer gesagt, was sie machen kann.

Ist mir ein Rätsel, wo da jetzt der Sinn sein soll, sich nicht die App anzuschauen und stattdessen zu schauen, was jemand "mit der App" macht.

 

[phil.]

Wer sein Kommentar hier lesen möchte, liest bitte vorher die News und schreibt dann sachlich und fachlich.
Glauben darf man in der Kirche, Vermutungen und OT gehört genauso wenig in diesen Thread.

 

[Uranus]

Da Google und Apple die relevanten Schnittstellen in ihrem jeweiligen mobilen Betriebssytem ja erst kürzlich geschaffen haben sehe ich für mich (und einen Großteil der Androidnutzer) ein gewisses Problem. Mein Smartphone erhält einfach keine Android-Updates mehr. Somit kann ich die App zwar laden, diese aber mangels API nicht verwenden.

 

[Radde]

Du hast es nicht verstanden, es geht nicht darum was die App macht sondern was die dahinter MIT der App machen, denk mal über diese Aussage nach, vielleicht verstehst du dann meine Aussage.

Genau dafür ist es ja eben wichtig, dass die "spannenden" Daten auf dem Gerät selbst gespeichert werden und eben nicht zentral.
Glücklicherweise kann man im Quellcode jetzt nachvollziehen, welche Daten die App sendet und empfängt. Damit kann jeder für sich eine Risikobewertung vornehmen.

 

[G00fY]

Da Google und Apple die relevanten Schnittstellen in ihrem jeweiligen mobilen Betriebssytem ja erst kürzlich geschaffen haben sehe ich für mich (und einen Großteil der Androidnutzer) ein gewisses Problem. Mein Smartphone erhält einfach keine Android-Updates mehr.

Als Android Nutzer ist kein OS Update notwendig. Die Funktionalität wird, wie viele der Google APIs, über die Google Play Services bereitgestellt, welche sich automatisch über den Play Store aktualisieren. Die sind soweit ich weiß aktuell bis Android 4.1 abwärtskompatibel.