Corona Warn App logt mehr als nötig?

Bernhard E. Reiter bernhard at fsfe.org
Fr Apr 30 15:35:35 UTC 2021 

Hi Nicolas,

Danke für die ausführliche Antwort und die Anregung
weniger zu loggen. (Das ist besser, weil Daten weniger exponiert sind.)


Am Donnerstag 29 April 2021 22:40:14 schrieb Nicolas Dietrich:
> Der Artikel erklärt, warum das zusätzliche Loggen der empfangenen RPIs
> problematisch ist (ermöglicht, einen Social-Graph zu erstellen), und
> warum das gemeinsame Loggen von RPI und Bluetooth-MAC problematisch ist
> (ermöglicht Abgleich mit existierenden Location-Tracking-Datenbanken und
> damit Lokalisierung).
>
> Dies ist beides mit den von der freien App geloggten Informationen nicht
> möglich. Nichtsdestotrotz werden die von der freien App (oder von
> Apple-Geräten) versendeten RPIs und MACs auch von anderen CWA-Apps, die
> das Google-Framework verwenden, geloggt.

Was ich mich zusätzlich frage ist, ob die Freie Software-Implementierung hier
einen weiteren Vorteil hatte. (Zu den bestehenden Vorteilen, dass z.B. ältere 
Geräte unterstützt werden.) Wäre ein kleines Beispiel mehr.

> Allerdings ist die Situation mit den privilegierten Apps in der Realität
> nicht so gravierend wie im Artikel beschrieben, da der ROM-Vendor
> inzwischen jede "priviliged permission" explizit erteilen muss. Im
> Beispiel des Xiaomi-Phones haben aufgrund dieser Mechanismen nur 6 Apps
> (2 von Xiaomi, 4 von Google) die READ_LOGS-Permission, im Artikel wird
> von 54 Apps geschrieben.

Der Heise Artikel wiederholt die hohe Zahl, auch für Samsung Galaxy A11 
behaupten sie, es seien viele Apps:
https://www.heise.de/news/Android-Schwachstelle-Einige-Apps-konnten-Bluetooth-Tracing-Daten-auslesen-6033005.html

Gruß,
Bernhard

-- 
FSFE -- Founding Member     Support our work for Free Software: 
blogs.fsfe.org/bernhard     https://fsfe.org/donate | contribute
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 659 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20210430/e18a7b5a/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de