Re: Corona Warn App logt mehr als nötig?

Nicolas Dietrich nidi at fsfe.org
Do Apr 29 20:40:14 UTC 2021 

Hi Bernhard,

On 4/29/21 4:54 PM, Bernhard E. Reiter wrote:
> https://themarkup.org/privacy/2021/04/27/google-promised-its-contact-tracing-app-was-completely-private-but-it-wasnt

Oh danke, darüber bin ich bisher noch nicht gestoßen!

> Da frage ich mich, ob die Freie Software Implementierung des ENF
> das besser macht.

Ich hab mal im CCTG-Raum nachgefragt, und wurde auf die Antwort vom
microG-Entwickler @larma (dessen ENF-Implementierung als Bibliothek in
die von dir verlinkte freie Corona-Warn-App CCTG eingebunden ist) verwiesen:

  https://chaos.social/@Kurt/106137591713162995

Demnach loggt die microG-Implementierung die RPIs (Rolling Proximity
IDs), die ausgesendet werden und die Anzahl an gescannten Geräten mit
aktiviertem EN, und dass EN aktiv ist.


Der im Markup-Artikel verlinkte Originalartikel erklärt detaillierter,
was Google konkret loggt, und was das Problem damit ist:

https://blog.appcensus.io/2021/04/27/why-google-should-stop-logging-contact-tracing-data/

Demnach loggt die Google-Implementierung zusätzlich zu den eigenen RPIs
auch die empfangenen RPIs und die zugehörige Bluetooth-MAC-Adresse (die
sich immer parallel mit den empfangenen RPIs ändert).

Der Artikel erklärt, warum das zusätzliche Loggen der empfangenen RPIs
problematisch ist (ermöglicht, einen Social-Graph zu erstellen), und
warum das gemeinsame Loggen von RPI und Bluetooth-MAC problematisch ist
(ermöglicht Abgleich mit existierenden Location-Tracking-Datenbanken und
damit Lokalisierung).

Dies ist beides mit den von der freien App geloggten Informationen nicht
möglich. Nichtsdestotrotz werden die von der freien App (oder von
Apple-Geräten) versendeten RPIs und MACs auch von anderen CWA-Apps, die
das Google-Framework verwenden, geloggt.

Mit "nur" den eigenen RPIs und den öffentlichen Listen der RPIs positiv
getesteter User lässt sich aber als privilegierte App auch ableiten, ob
der Nutzer des Geräts positiv getestet wurde.


Allerdings ist die Situation mit den privilegierten Apps in der Realität
nicht so gravierend wie im Artikel beschrieben, da der ROM-Vendor
inzwischen jede "priviliged permission" explizit erteilen muss. Im
Beispiel des Xiaomi-Phones haben aufgrund dieser Mechanismen nur 6 Apps
(2 von Xiaomi, 4 von Google) die READ_LOGS-Permission, im Artikel wird
von 54 Apps geschrieben.


Laut dem Markup-Artikel hat Google das Problem inzwischen gefixt
(Roll-Out läuft, soll in ein paar Tagen durch sein), wenn auch nicht
genauer beschrieben ist, ob das bedeutet, dass jetzt nichts mehr oder
weniger geloggt wird.

Ich habe nun angeregt, auch das Logging der eigenen RPIs in CCTG/microG
einzustellen, das ist nun hier implementiert:

  https://github.com/microg/GmsCore/pull/1464


Viele Grüße

Nico

Mehr Informationen über die Mailingliste FSFE-de