Gedanken zur Corona Warn App / #CoronaWarnApp

Der Ansatz ist top, die Umsetzung mal mehr mal weniger gut. Über: Open Source App, API, Ohne Smartphone, Internet & Bluetooth & Standort Zugriff

"Wann immer sich Nutzerinnen und Nutzer begegnen, tauschen ihre Smartphones über Bluetooth verschlüsselte Zufallscodes aus."

so heißt es in der Beschreibung der App im Play Store (1.). Der Ansatz ist top, die Umsetzung mal mehr mal weniger gut.

Open Source App

Ich finde die Idee durch eine solche App eventuell Infektionsketten zu durchbrechen gut. Doch scheint das ganze nicht bis zum Ende gedacht. Die App ist "Open Source" (d.h. jeder kann den Quellcode ansehen) und das ist auch extrem gut. Die App wurde ja schließlich auch von staatlicher Seite aus finanziert. Hiermit ist es z.B. unabhängigen Experten möglich zu prüfen was die App den genau macht.

API

Doch leider verwendet die Warn App eine Programmierschnittstelle (API) von der keiner genau weiß, was alles im Hintergrund geschieht. Da die Schnittstelle auf Android Geräten nicht zum "Android Open Source Project" , sondern zu den Google Play Services gehört, steht sie nicht automatisch unter der Open Source Lizenz. Laut Heise Informationen ist es jedoch geplant, die API in den Open Source Teil zu integrieren (2.).

Solang ist es für Nutzer von Android Smartphones ohne Google Anwendungen, überhaupt nicht möglich diese App zu nutzen, da diese Geräte auf Grund der fehlenden Google Play Services nicht die notwendige API nutzen können.

Kein Smartphone?

Leider gehören besonders die älteren Menschen nicht zur Nutzergruppe der App, welche zwar einfach zu bedienen, aber leider nicht ohne Smartphone nutzbar ist. Ja das mit dem Smartphone ist sicher ein Problem, jedoch sollte man die App wohl eher als zusätzliches extra und nicht als alleinigen Lösungsweg für die Corona Pandemie betrachten.

Ideen um die App dennoch nutzen zu können habe ich bereits einige gesehen:

  1. altes Smartphone aus dem Freundeskreis leihen
  2. ein billiges Smartphone erwerben (bereits unter 100€ möglich)
  3. ...

Internet & Bluetooth & Standort

Beim ersten starten der App merkte ich bereits, dass die App sofort eine Verbindung zu einem t-online Server aufbaut. Blockiert man diese Verbindung vor dem ersten Start der App, kann diese gar nicht erst aktiviert werden. Später ist eine Nutzung jedoch zumindest Zeitweise auch ohne Internet möglich.

Für die vorgesehene Nutzung der App muss Bluetooth aktiviert sein. Jedoch werden im Bluetooth Standard immer wieder Sicherheitslücken entdeckt ( z.B. 3. ). Somit ist eine dauerhafte Aktivierung eigentlich nicht zu empfehlen.

Des weiteren fordert die #CoronaWarnApp Standort Berechtigungen an, obwohl das Tracking ja eigentlich über Bluetooth und die entsprechende Signalstärke funktionieren sollte. Ohne diese Berechtigung zu erteilen, kann man anscheinend die App gar nicht nutzen.

Fazit

Mit ein wenig Hintergrundwissen fällt die Entscheidung nicht leicht. Auf der einen Seite will man mit der Nutzung der App unnötige Infektionen verhindern und den Ansatz der Open Source App unterstützen, auf der anderen Seite wird man gezwungen eine geschlossene Api zu nutzen und setzt sich eventuellen Sicherheitslücken aus.

EDIT 19.06.2020

Aufgrund von weiteren Recherchen und eines Leserhinweises ist nun klar, warum der Standort "benötigt" wird. Der Standort Zugriff wird unter Android benötigt um die "Bluetooth Low Energy" Funktion nutzen zu können. Genau diese Funktion wird in der Warn App gebraucht, um das Kontakt Tracing durchzuführen. Laut dem öffentlichen Quellcode der App greift aber zumindest die Corona Warn App nicht auf den Standort zu. (Danke an @jeybe@social.anoxinon.de für den Hinweis)

Da kommen wir auch gleich zum zweiten Punkt des EDITs. Es ist zwar möglich den Code der App bei Github einzusehen, jedoch lässt sich nicht nachvollziehen ob eben auch genau dieser Code im Play & App Store hinterlegt ist. Dies ist dann wohl leider doch eine weitere Vertrauenssache, denn das nachbauen der App mit dem Quelltext funktioniert auf Grund der geschlossenen API leider nicht.

und jetzt du! Deine Meinung ist gefragt

Was hälst du von der App? Wirst du die App benutzen oder nicht?

Dir hat mein Beitrag gefallen? Du möchtest etwas kritisieren oder einfach nur diskutieren?
  1. Reagiere einfach mit einem Herz oder einem Boost auf den Beitrag
  2. Du kannst einfach mit einem Fediverse Account unter diesem Blog Post kommentieren
  3. oder mich über Mastodon anschreiben: LINK in der Autorinfo (unter der Like Funktion) Danke
Quellen
  1. https://play.google.com/store/apps/details?id=de.rki.coronawarnapp
  2. https://www.heise.de/news/Fragen-und-Antworten-zur-Corona-Warn-App-der-Bundesregierung-4784570.html?seite=5
  3. https://thehackernews.com/2020/05/hacking-bluetooth-vulnerability.html
  4. Bild: https://pixabay.com/de/illustrations/covid-corona-coronavirus-virus-4948866/