From 35025ac2f1febbe20d0af611f63a7461e0e9cedf Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?Julian-Samuel=20Geb=C3=BChr?= Date: Sat, 2 Jan 2021 22:38:33 +0100 Subject: [PATCH] Add post for Corona-Warn-App --- content/post/cwa.md | 63 +++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 63 insertions(+) create mode 100644 content/post/cwa.md diff --git a/content/post/cwa.md b/content/post/cwa.md new file mode 100644 index 0000000..b0583a8 --- /dev/null +++ b/content/post/cwa.md @@ -0,0 +1,63 @@ +--- +title: "JA zur Corona-Warn-App" +date: 2020-12-10T7:00:00+02:00 +draft: false +image: "/uploads/CWA/CWA_cut.png" +categories: ['deutsch'] +tags: ['security', 'deutsch', 'corona'] +--- + +JA zur Corona-Warn-App und Nein zu unbegründeter Verunsicherung! + +Ich beziehe mich im Folgenden auf einen [Blogbeitrag der bei Schwarzer Pfeil veröffentlicht wurde](https://schwarzerpfeil.de/2020/12/06/unser-erneuertes-nein-zur-corona-warn-app/). Gesschrieben wurde er von [capulcu](https://capulcu.blackblogs.org). + +Beginnen wir mit dem Start: +Die Freiwilligkeit der Installation wird in Frage gestellt. Behauptet wird, dass der Staat hier die Angst der Bevölkerung ausnutze. + +![Textauszug: Die "freiwillige" Corona-App und der digitale Immunitäsnachweis: Unter dem Label "Zusammen gegen Corona" propagiert das Bundesministerium für Gesundheit die allgemeine Nutzung der sogenannten Corona-Warn-App zur nachträglichen Kontaktrekonstruktion Infizierter. Die berechtigte Angst vor dem Virus wird benutzt, um einem Großteil der Bevölkerung "freiwillig" ein autoritär hochwirksames Werkzeug zu verabreichen.](/uploads/CWA/1.png)\ + + + +Es geht weiter mit sehr abstrakten Vorstellungen von "prädiktiven Modellen" die von solchen "Verhaltensdaten" trainiert werden sollen. Doch welche sollen das denn sein? Wie im Text später zu lesen ist verbleiben die Corona-IDs auf dem lokalen Gerät. + +![Selbst wenn das Protokollieren von Kontakten vollständig pseudonym erfolgen würde, müssen wir dringend vor dieser App warnen. In dem Moment, wo (sogar anonyme) Verhaltensdaten flächendeckend anfallen, sind die prädiktiven Modelle, die damit trainiert werden, dazu in der Lage, ganze Populationen in Risikogruppen einzuteilen und algorithmisch zu verwalten. Es ist eine Überwachungsinfrastruktur, die da ausgerollt wird. Deshalb halten wir den Applaus einiger kritischer Datenschützer*innen für unangemessen, ja sogar fahrlässig.](/uploads/CWA/2.png)\ + + +Das gilt auch im Infektionsfall wie sie selbst schreiben. Woher soll also diese "Einteilung der Bevölkerung in Risikogruppen" und die "algorithmische Verwaltung" kommen? + +![Textauszug: Der Server der Gesundheitsbehörden kann keine Abbildung des sozialen Umfelds ableiten und lernt von Verdachtsfällen nur, wenn die Nutzenden sich nach einer Aufforderung der App beim Gesundheitsamt beziehungsweise einer Ärzt*in melden. Verglichen mit dem zentralen Ansatz bewahren die Nutzenden der App ein größeres Maß an Privatsphäre und Autonomie gegenüber staatlichen Stellen und deren Infrastruktur.](/uploads/CWA/3.png)\ + +Beschrieben werden außerdem Bluetooth-Sicherheitslücken. +Diese sind zwar durchaus schwerer Natur, stechen jedoch nicht aus der Masse besonders heraus oder stellen Grundlagen des Protokolles infrage. Eine massenhafte Ausnutzung erscheint unwahrscheinlich. + +![Bluetooth hat eine 20 Jahre alte Geschichte der Unsicherheit. Alle paar Jahre gibt es einen neuen Angriff auf Bluetooths Pairing-Protokoll oder die verwendete Verschlüsselung. Auch aktuell gibt es eine Sicherheitslücke (CVE-2020-0022[9]) und einen Exploit, der diese ausnutzt (Bluetooth zero-click short-distance RCE exploit against Android 8/9 (bei Android 10 keine RCE, aber DoS)). Mit dieser Lücke und dem Exploit lässt sich ein Wurm schreiben, der sich ohne User*innen-Interaktion Über Bluetooth weiterverbreitet und auf den Geräten Schadcode in einem privilegierten Prozess ausführen kann[10].](/uploads/CWA/4.png)\ + +Zugegeben, Bluetooth ist nicht zwingend die sicherste Technologie. Obwohl die Sicherheitslücke schnell geschlossen wurde ist die Kritik an der Android Update Verbreitung berechtigt. +Das der CWA anzulasten ist jedoch etwas weit hergeholt. + +![Textauszug: Wer jemandem zu nahe kommt, kann sich nicht nur selbst mit Covid-19 infizieren, sondern mit einem CVE-2020-0022-Wurm , dank der Corona-App, auch sein Smartphone, welches den Wurm dann munter weitergibt. Die Schwachstelle ist in dem Security-Patch von Android Open Source Project (AOSP) vom Februar 2020 behoben. Aber welche Android-Smartphones werden den jemals erhalten?](/uploads/CWA/5.png)\ + +Google und Apple wird unterstellt die über die Bluetooth-Schnittstelle der CWE gewonnen Daten zur Erstellung von Social Graphs nutzen zu wollen. Aber sind wir ehrlich Standort und Telefonbuch sind da aussagekräftig genug. + +![Textauszug: Des Weiteren haben Google und Apple auch Interesse an Social Graphs.](/uploads/CWA/6.png)\ + + +Dass Google und Apple maßgeblich dafür Verantwortlich sind, dass sich der datenschutzfreundliche dezentrale Ansatz durchgesetzt hat wird als Beweis der Macht der Konzerne angesehen und als den versuch "unausweichliche Instanz zu sein". +![Dass Google und Apple maßgeblich dafür Verantwortlich sind, dass sich der datenschutzfreundliche dezentrale Ansatz durchgesetzt hat wird als Beweis der Macht der Konzerne angesehen und als den versuch "unausweichliche Instanz zu sein".](/uploads/CWA/7.png)\ + +Dass dem nicht so ist und der offene, dezentrale Ansatz sogar Macht von Google und Apple sinken lässt zeigt die in Deutschland verfügbare Google-freie CWA: +https://f-droid.org/en/packages/de.corona.tracing + +# Fazit +Skepsis bzgl. Technik bleibt wichtig. Die Corona-Warn App schafft aus meiner Sicht jedoch +eine durchaus bemerkenswerte Leistung, nämlich sennsible Kontaktdaten datensicher zu verarbeiten. +Das ist vielen Datenschützer\*innen zu verdanken, die sich für eine dezentrale Open-Source +Lösung eingesetzt haben. Kritik an der App ist teilweise faktisch falsch und überschätzt Risiken +stark. Statt zur Verunsicherung beizutragen, sollte solidarisch für solche guten Lösungen geworben +werden! + + +**PS:** Der Thread/Blogbeitrag erhebt keinen Anspruch auf Vollständigkeit. Eine Beschäftigung mit +dem gesamten Orginal hätte sehr viel länger gedauert und meine Kapazitäten gesprengt. + +Einen guten Thread hat auch [Waweic](https://chaos.social/@waweic) dazu geschrieben: https://chaos.social/@waweic/105335074439772081