News Coronavirus: Apple iOS und Google Android integrieren Kontakt-Tracing

[Krautmaster]

Erkenntnisse zeigen, dass Menschen sich zumeist an mögliche Kontakte besser erinnern können als es Maschinen, die planlos einfach alles aufnehmen, jemals könnten.

Hm ja kann durchaus sein, nur kann man zB keinen nennen den man nicht kennt. Und gerade wenn die Inkubationszeit einige Tage ist und man nicht wirklich sagen kann woher und wann man sich infiziert hat.

Verwaltungsaufwand halte ich eher für überschaubar. Klar müsste man entweder den Anwender darauf hinweisen sich Infiziert zu setzen (zB im Android oder iOS). Wüsste nicht wie das extern geschehen sollte.

 

[Krautmaster]

Bleibt letzlich nur Root als Resüme

Mit root macht man sich in der Regel noch weit größere Lücken auf.

 

[Krautmaster]

https://netzpolitik.org/2020/warum-freiwilliges-handy-tracking-nicht-funktioniert/

Ich empfehle diesen Beitrag zu lesen

Hab es nur überflogen aber für mich siehst das sehe nach einem Argument auf Basis Corona aus. Da bin ich dabei, aktuell ist es quasi schon zu spät und wie werden das Problem nur noch über eine verlangsamte Immunisierung der Menschheit lösen + auf den Impfstoff warten.

Das ist aber zu kurz gedacht. Ich denke Methoden wie at News werden eher bei künftigen Erregern die frühe Eindämmung ermöglichen (die Chance deutlich erhöhen), dass es zu sowas wie Italien / NY erst gar nicht kommt. Das kann bedeuten dass man am Beispiel Corona Virus Ende Januar 2020 100.000 Menschen ermittelt die seit Anfang Dez uU mit jemand in Kontakt kamen, eine Nummer nahe der Dunkelziffer.

Allein die Dunkelziffer zeigt wie schlecht sich Menschen daran erinnern mit wem sie in Kontakt standen oder das Gegenüber in der Bahn einfach gar nicht kannten.

Es gilt aber absolut sowas in unabhängige Hände zu legen und klar und offen datenschutzrechtlichen durchzukauen. Von einem Schnellschüsse wegen Corona halte ich auch nichts.

 

[Ganjaware]

Das Krankenmeldelisten bereits jetzt schon an die Exekutive weitergeleitet wird wusste ich noch nicht:
https://netzpolitik.org/2020/niedersachsen-schickt-weiter-coronalisten-an-die-polizei/

 

[v45c0]

Konnte jetzt nicht alle Beiträge lesen..

Wird bei custom ROMs mit nanoGAPPS dann auch so sein oder?

 

[Voodoo_Freak]

Ich ja, für meinen Fitnesstracker.

Und nun ich: Gehst Du ernsthaft davon aus, dass Du BT tatsächlich ausschalten kannst?

Ich erkenne den Unterschied relativ einfach über die Akkulaufzeit. Die leidet bei meinem älteren Gerät dadurch nicht unerheblich. Sollte ich es tatsächlich mal vergessen zu deaktivieren (z.B. nach der seltenen Kopplung im Auto), ist der Akku spätestens abends komplett platt.
Von daher beantworte ich deine unterschwellige Provokation mal so: Ich denke es nicht nur, ich merke es zu 100% sollte BT an sein.

 

[ReactivateMe347]

Nein die IDs sind quasi random.

Wie soll das gehen, sie müssen ja wiedererkannt werden können. SHA1(MAC+Uhrzeit) ist auch "quasi random" aber auch relativ leicht zurückzurechnen und damit praktisch wertlos

Manche Apps versenden im Klartext mehrmals pro Minute die GPS-Daten und die können dann entsprechend auch in einer TKÜ mitgeschnitten werden, ohne das der Staat selbst auf das Gerät zugreifen muss.

Dann verrate mir mal, wie bei einer TKÜ die TLS-Verschlüsselung gebrochen wird, damit die GPS-daten ausgelesen werden können?!

Wäre mir neu, dass da bei Google was gefiltert wird.
Bei Startpage, Ecosia und DuckDuckGo sind die Ergebnisse deutlich schlechter als bei Google. Inbesondere, wenn es um aktuelle Sachen bzw. neue Seiten geht.
Ich nutze auch Startpage bzw. Ecosia als Standard, bin aber regelmäßig darauf angewiesen auf Google zu suchen, weil nicht das gewünschte Ergebnis da war.

Natürlich wird bei Google gefiltert. Stichworte z.B. "Recht auf Vergessen" (nur für Europa) und DMCA-Takedown (witziger Weise US-Gesetz aber nicht nur für die USA). Ich stimme dir aber zu, dass dennoch Startpage/Ecosia/Bing/Yahoo/... auch meiner Erfahrung nach nicht mithalten können

Ich halte die App UND die Integration in die beiden führenden mobilen Betriebssysteme für quatsch!

Weil du lieber in der Wohnung über Monate versauerst und die Wirtschaft dabei kaputt gehen lässt?

Unterscheidet das BT-Signal ob die beiden Handys zwischen einer Scheibe kommuniziert haben?

Um Fragen wie diese zu klären werden aufwändige Tests in Kooperation mit Vodafone durchgeführt. Abgesehen davon: Lieber nur durch eine Scheibe Kontakt gehabt und false-positiv 2 Wochen in Quarantäne mit Lohnfortzahlung, als monatelang verdachtsunabhängig in Quasi-Quarantäne

Wie hoch ist die Wahrscheinlichkeit auf eine infizierte Person ohne Smartphone bzw. ohne App zu treffen?

Um so höher, je mehr Leute es nicht Nutzen. Wenn 3% der Bürger die App nutzen, dann ist sie sinnfrei. Wenn 95% sie nutzen, dann ist sie ziemlich nützlich.

Auch ich gehe den allgemeinen Konsens mit , ist es erst einmal implementiert, werden die Konzerne die Funktionalität zu ihren Nutzen weiter laufen lassen.

Daran zweifele ich stark, weil Sicherheitsforscher das bemerken würden und das Risiko für die zu groß ist. Sorgen mache ich mir eher um Drittanbieter-Apps.

 

[knoxxi]

Dann denke ich das dein Akku defekt ist, wenn ein bisschen Bluetooth den Akku so platt macht. Ich merke absolut null davon ob an oder nicht. Und dabei hat mein Akku noch nicht mal mehr als die magischen 4000maH.

 

[Hayda Ministral]

Nein. Erst wenn ich positiv getestet werde, lade ich alle von mir gesammelten Kontaktcodes der letzten n Tage hoch (aus denen sich keine persönlichen Informationen ableiten lassen).

Wenn sich daraus keine persönlichen Informationen ableiten lassen, dann könnte man anhand dieser Daten auch nicht die Betroffenen kontaktieren. Folglich wäre dann die ganze Aktion für die Katz.
Möchtest Du es nochmal versuchen?

 

[Chillvie]

Wenn sich daraus keine persönlichen Informationen ableiten lassen, dann könnte man anhand dieser Daten auch nicht die Betroffenen kontaktieren. Folglich wäre dann die ganze Aktion für die Katz.
Möchtest Du es nochmal versuchen?

Nur. Die. Betroffenen. Selbst. Können. Ihre. Eigenen. Codes. Wiedererkennen.
Es erfolgt keine Kontaktierung. Dein Telefon guckt sich die öffentliche Liste an und findet welche von deinen Zufallscodes darauf wieder oder eben nicht.

Die zwei Bilder im Artikel erklären das Konzept übrigens recht deutlich, sehe ich gerade.

Wie soll das gehen, sie müssen ja wiedererkannt werden können. SHA1(MAC+Uhrzeit) ist auch "quasi random" aber auch relativ leicht zurückzurechnen und damit praktisch wertlos

Es können (sollten) Zufallszahlen verwendet werden, die sich nicht zurückzurechnen lassen. Das Prinzip funktioniert dennoch, denn ihre Zuordnung erfolgt nur durch die Clients selbst, die sich ihre eigenen Zufallszahlen der letzten Wochen gemerkt haben.

 

[noxcivi]

Ich erkenne den Unterschied relativ einfach über die Akkulaufzeit. Die leidet bei meinem älteren Gerät dadurch nicht unerheblich. Sollte ich es tatsächlich mal vergessen zu deaktivieren (z.B. nach der seltenen Kopplung im Auto), ist der Akku spätestens abends komplett platt.

Das tut mir leid für dich. Ich schätze, damit ist dein Gerät für die beschriebenen Bluetooth LE-Beacons eh zu alt und du hast nichts zu befürchten.

 

[DKK007]

Dann verrate mir mal, wie bei einer TKÜ die TLS-Verschlüsselung gebrochen wird, damit die GPS-daten ausgelesen werden können?!

"Klartext". Es gibt bei vielen Apps keine TLS-Verschlüsselung.

Beispiele aus der Vegangenheit:
https://www.telespiegel.de/news/12/2505-app-datenschutz-test/
https://www.it-daily.net/it-sicherh...erschluesselte-uebertragung-von-standortdaten

Hier gibt es sogar eine Statistik dazu: https://www.it-daily.net/shortnews/18975-welche-apps-verstossen-gegen-die-dsgvo

APPVISORYs Experten entdeckten während ihrer Analysen, dass fast ein Viertel aller Apps auf das Adressbuch zu greifen, während rund die Hälfte aller Apps die Standorte der Nutzer aufzeichnen. In 40 Prozent der Fälle fehlt die Verschlüsselung während der Standort-Übertragung gänzlich.

Im Test entdeckten die APPVISORY-Analysten, dass die Android-Version der Eurosport-App den Nutzernamen als auch das zugehörige Passwort unverschlüsselt überträgt. „Das Örtliche“ übermittelt in der aktuellen iOS-Version die Standortdaten unverschlüsselt an Werbenetzwerke.

Ob die Daten nun an den Anbieter oder Dritte (z.B. Werbenetzwerke) unverschlüsselt übertragen werden, ist zum Abgreifen der Daten, sei es im Rahmen einer offiziellen TKÜ oder durch kriminelle Hacker, egal.

 

[BalthasarBux]

iFun hat ein Comic verlinkt, das schnell erklärt, warum Contact tracing (gut implementiert) wirklich anonym ist: https://www.iphone-ticker.de/covid-19-bluetooth-kontaktverfolgung-im-comic-erklaert-156083/

 

[ReactivateMe347]

"Klartext". Es gibt bei vielen Apps keine TLS-Verschlüsselung.

Soweit ich weiß ist das inzwischen sowohl bei Apple als auch bei Google untersagt?!

 

[ReactivateMe347]

Es können (sollten) Zufallszahlen verwendet werden, die sich nicht zurückzurechnen lassen. Das Prinzip funktioniert dennoch, denn ihre Zuordnung erfolgt nur durch die Clients selbst, die sich ihre eigenen Zufallszahlen der letzten Wochen gemerkt haben.

Wenn Millionen Leute stündlich Zufallszahlen generieren über 21 Tage, 83 Millionen *24*21, dann sind wir bei fast 35 Mrd IDs, alleine in Deutschland. In diesem Zusammenhang wäre eine Kollision wegen evtl. Domino-Effekt auch ziemlich problematisch. Abgesehen davon kann ein Dritter dann doch trotzdem neben der Zufallszahl die Bluetooth-MAC protokollieren und so die "Anonymität" brechen.

 

[noxcivi]

Abgesehen davon kann ein Dritter dann doch trotzdem neben der Zufallszahl die Bluetooth-MAC protokollieren und so die "Anonymität" brechen.

Dafür hätte ich gern einen Beleg. Der Beacon selbst enthält die MAC nicht und in meiner Umgebung sprüht nur "Zubehör" wie Armbänder, Kopfhörer, Fernseher ihre MAC in die Gegend.

 

[Chillvie]

Wenn Millionen Leute stündlich Zufallszahlen generieren über 21 Tage, 83 Millionen *24*21, dann sind wir bei fast 35 Mrd IDs, alleine in Deutschland. In diesem Zusammenhang wäre eine Kollision wegen evtl. Domino-Effekt auch ziemlich problematisch. Abgesehen davon kann ein Dritter dann doch trotzdem neben der Zufallszahl die Bluetooth-MAC protokollieren und so die "Anonymität" brechen.

Wenn wir die IDs mal zur Abschätzung von Null durchzählen, passen gut 68 Milliarden davon in 36 Bit = 4,5 Byte. Diese Länge kann man doch problemlos vervielfachen, um Kollisionen zu vermeiden, oder übersehe ich was?

 

[ReactivateMe347]

Dafür hätte ich gern einen Beleg. Der Beacon selbst enthält die MAC nicht und in meiner Umgebung sprüht nur "Zubehör" wie Armbänder, Kopfhörer, Fernseher ihre MAC in die Gegend.

Die MACs sind für den Medienzugriff, wie sollen die nicht bekannt sein?
Ich kenne Bluetooth nicht im Detail, aber bei Ethernet und WLAN kann man ohne "Verraten" der MAC nicht Senden oder Empfangen bzw. Dann ist man ein Störsender.

 

[ReactivateMe347]

Wenn wir die IDs mal zur Abschätzung von Null durchzählen, passen gut 68 Milliarden davon in 36 Bit = 4,5 Byte. Diese Länge kann man doch problemlos vervielfachen, um Kollisionen zu vermeiden, oder übersehe ich was?

Die Frage ist, wie die Specs aussehen. Klar, wenn der Identifier 128 Bit ist, dann ist de Chance ziemlich klein.
Ich überlege Gerade: Domino-Effekt tritt natürlich nur ein, wenn mittelbare Kontakte ohne Prüfung in Quarantäne gehen (A infiziert, C hatte mit B Kontakt und B mit A, bevor B getestet wird geht C schon vorsorglich in Quarantäne)

 

[noxcivi]

Ich kenne Bluetooth nicht im Detail, aber bei Ethernet und WLAN kann man ohne "Verraten" der MAC nicht Senden oder Empfangen bzw. Dann ist man ein Störsender.

Geheim empfangen kann man sehr wohl, nennt sich (Radio-)TAP.
Wenn du keine Ahnung von Bluetooth LE hast, ist das okay. Doch verbreite Behauptungen dazu bitte erst, wenn sich das geändert hat. Stichworte: Bluetooth LE-Advertising und -GAP
Oder verwende die Worte "ich glaube, dass".