offener Brief: Nutzung der Luca App bedenklich

Mitglieder des Freiburger Chaos Computer Club, haben in einem offenen Brief an das Sozialministerium Bedenken über die Nutzung der Luca App geäußert. „In den vergangenen Tagen haben nahezu täglich unterschiedliche Medienberichte und Meldungen in sozialen Medien gelesen, die auf konzeptionelle Mängel, unsaubere Programmierung des Software der Luca App und ein befremdliches Geschäftsgebaren der Betreiberfirma hindeuten. (…) Alles dies lässt aus unserer Sicht den Einsatz und den Erwerb der Lizenz für die App höchst fragwürdig erscheinen.“

Betreff: Nutzung und Erwerbe einer Lizenz für die „Luca App“ durch das Land Baden-Württemberg

Sehr geehrte Damen und Herren,
sehr geehrter Herr Prof. Dr. Lahl,
sehr geehrter Herr Dr. Brink,

Wir schreiben Ihnen, weil wir besorgt sind über den Ankauf einer Lizenz für die Nutzung der „Luca-App“ durch das Land Baden-Württemberg.

In den vergangenen Tagen haben nahezu täglich unterschiedliche Medienberichte und Meldungen in sozialen Medien gelesen, die auf konzeptionelle Mängel, unsaubere Programmierung des Software der Luca App und ein befremdliches Geschäftsgebaren der Betreiberfirma hindeuten. Im wesentlichen sind dies:

1. Es scheint Unregelmäßigkeiten bei dem Erwerb der App gegeben zu haben:

Eva Wolfangel Journalistin bei der Zeit fasst auf twitter zusammen:

In einem internen Vergabe-Dokument des Ministeriums für Energie, Infrastruktur und Digitalisierung MV wird ein Vergleich zwischen der #LucaApp und acht anderen Check-In-Apps angestellt – mittels von deren Website kopierter Textblöcke. Gespräche fanden offenbar keine statt. Die Vergabe in Mecklenburg wird derzeit rechtlich geprüft – denn andere finden schon, dass es Vergleichbares auf dem Markt gibt: Etwa 50 weitere Startups haben Check-in-Apps entwickelt, von denen mindestens eines aktuell die Vergabe juristisch anficht.“ (siehe: https://twitter.com/evawolfangel/status/1378612565245362176?s=21) Sie führt dann weiter aus, die App sei aufgrund einer fehlerhaften bzw. unvollständigen Markterkundung gekauft worden.

2. Es gibt erhebliche Sicherheits- und Datenschutz- Bedenken aufgrund der Konzeption der App, und das, obwohl es sich um besonders schützenswerte Daten gemäß Art. 9 (1) DSGVO handelt.

So kann etwa der API-Endpunkt zum Versenden der TAN-SMS beliebig ausgelöst werden und somit können ungewollte SMS-Nachrichten an beliebige Telefonnummern gesendet werden. Darauf hat die Betreiberfirma bis heute nicht reagiert, obwohl sie von Mitgliedern des Chaos Computer Club Freiburg darauf aufmerksam gemacht wurde.

Siehe: https://wiki.cccfr.de/luca_app_sms-tan

Die Sicherheitsforscher Stadler, Lueks et al haben eine „Vorläufige Analyse des Schad-Potentials im Luca Kontaktverfolgungssystem“, als wissenschaftliches Paper auf einem Preprint Server vorgelegt. (Quelle: https://arxiv.org/abs/2103.11958). Sie sehen schon vom Konzept her folgenden Hauptprobleme, selbst wenn man beste Umsetzung und Absichten unterstellt:

offener Brief: Nutzung der Luca App bedenklich weiterlesen

Mit UUID 0xFD6F Scanner, Ramble, GPS Logger II und Corona-Warn App-Companion die Umgebung meßen

25 Corona-Warn-App Beacons im Zug am Freiburger Haupbahnhof.

Seit einigen Tagen meße ich in unterschiedlichen Alltagssituationen mit dem UUID 0xFD&F Scanner und anderen Apps, wieviele Bluetooth Beacons der Corona-Warn-App mein Handy empfangen kann. Weitere Meßungen gibt es mit modifizierten PaxCountern an einem Coffeebike in der Freiburger Innenstadt. (Anleitung auf Deutsch). Hier ist die Anleitung für alle diemit unterschiedlichen Methoden ihre Umgebung bemeßen wollen.

Zunächst mal die einfachste Methode ist sich einen Schreibblock zu schnappen und einfach die Menschen zu fragen: „Haben sie die Corona-Warn-App auf ihrem Handy?„.

Die meisten Menschen die man fragt, geben gerne und bereitwillig Auskunft. Wenn man das ordentlich machen will, beginnt man eine solche Befragung mit einer kurzen Einleitung. „Hallo ich mache Umfrage (am besten sagt man für wen: eigentes Blog, Uni, Interesse)“ und stellt dann ein paar Fragen. Tipps dafür gibt es etwa hier bei der Bundeszentrale für politische Bildung. Wer nun aber mit technischen Mitteln zählen will, für den habe ich hier einige Tipps und Anleitungen.

Wieviele Leute haben mich gefragt, wie sie selbst diese Meßungen machen können. Ich will hier eine Methode erläutern, in der Hoffnung das möglichst viele Personen auch meßen und auch zur Verbreitung der Corona-Warn-App beitragen. Wir brauchen immer ein Android Handy, ein älteres Gerät reicht aus.

Für die spontante Anzeige ist der UUID 0xFD&F Scanner die App der Wahl, für eine Analyse der Begegnungen über den Tag RaMBLE + Corona Warn App Companion und für eine Analyse der Örtlichleiten der GPS Logger II. Ich stelle sie alle hier vor und erkläre wie man sie benutzt. Für eine stationäre Analyse der modifizierte PaxCounter, der die Daten an TagoIo weitermeldet.

UUID 0xFD&F Scanner

Der UUID 0xFD&F Scanner zeigt mir an wieviele Handys, die die Corona-Warn-App installiert und eingeschaltet haben in meiner Umgebung sind. Download ist leider nicht über den Google Playstore möglich, aber etwas über f-droid oder über das sogennante Sideloading, dazu muß man ‚Installation von unsicheren Quellen zulassen‘ in den Einstellungen aktivieren.

mit dem Druck auf die II oder Pfeil nach rechts / Play Symbol starten wir die Erfassung

Es empfiehlt sich nach der Installation noch ein paar Dinge zu regeln. Zum einen fragt uns das Telefon ob wir die Erlaubnisse für „Eure Position zu ermitteln“ geben wollen, das sollten wir auf jeden Fall tun. Dann gibt es noch ein paar Einstellungen (Settings).

Mit UUID 0xFD6F Scanner, Ramble, GPS Logger II und Corona-Warn App-Companion die Umgebung meßen weiterlesen

Erste Ergebnisse des Untersuchung mit PaxCounter am Coffeebike

Im Coffeebike da liegt er und scannt!

In einem früheren Beitrag habe ich berichtet unterschiedliche PaxCounter an einem Coffee to go Bike in der Freiburger Innenstadt angebracht zu haben. Die Geräte zählen Corona-Warn-App-Beacons, Bluetooth Geräte und WLAN Geräte. Wir verwenden WLAN Geräte als eine Annährung an die im Umkreis befindlichen Smartphones. Wieviele Leute im Umkreis sind, lässt sich schwierig sagen, da ja nicht alle immer ein Smartphone dabei haben oder WLAN eingeschaltet.

Die Daten vom Donnerstag 12.11.2020 von 11:00 – 18:00

Es scheint so als ob tendenziell mehr Menschen ihr Bluetooth anhaben auf dem Smartphone als ihr WLAN – allerdings werden bei Bluetooth auch zahlreiche andere Geräte gemessen, etwa Kopfhörer oder Smartwatches, die selbst kein WLAN haben.

Ungefähr lässt sich folgendes sagen: Es sind ungefähr 10 mal so viele Bluetooth Geräte zu sehen, wie Corona-Corona-Warn-App Beacons zu sehen sind und ungefähr dreimal so viele Warn-App Beacons wie Handys. Im Durchschnitt sieht er etwas mehr als 48 CWA Beacons (Median 45,5) bzw. 17 Smartphones und 158 BLE Geräte an dieser Stelle.

Die Daten sind natürlich immer mit Vorsicht zu geniessen: Zum einen ist es gut denkbar das ein Handy das in der Nähe ist nicht gemessen wird, weil zb der Körper der es trägt, verdeckt. Auch kennen wir nicht die Reichweite dieser Messung.

Vorne: Messen mit dem GPS Logger II und im Hintergrund das Coffeebike
Erste Ergebnisse des Untersuchung mit PaxCounter am Coffeebike weiterlesen

Wieviele Leute haben denn nun die Corona Warn App? Wir messen mit dem PaxCounter!

Vor einigen Tagen sah ich einen tweet, den ich sehr spannend fand:

Der Lastenradbarista steht ja mit seinem Coffeebike an verschiedenen Stellen in der Stadt und verkauft Kaffee und andere nette Sachen. Seine Corona-Warn-App zeigte ihm zwischen dem 19. – 27.10 25 niedrige Risikobegegnungen. Das ist sehr spannend, weil eine kleine Umfage in meinem Bekanntenkreis sehr unterschiedliche Antworten gab.

„Sag mal wieviele Risikokontakte hast du in deiner Corona-Warn-App?“
„Keinen einzigen. Und das als Zugfahrer ???“ (er meint Pendler)
„1, niedrig“ (Arzt)
„0 keiner hat’s ?“ (Unternehmer)
„Aktuell null. Hatte aber schonmal einen.“ (Softwareentwickler, Rad zur Arbeit)
„Bisher keine Risikobegegnungen“
„Auf dem einen 6, dem anderen 2 (lustig, weil ich immer beide zusammentrage)“ (Journalist)
„Ich habe die gar nicht installiert, weil ich als Polizist und Sani ständig so Begegungen hätte“
Das waren zumindest mal die Antworten einer kleinen Umfrage im Bekanntenkreis.

Gleichzeitig mehren sich die Stimmen, die fordern, die Corona-Warn-App zu verbessern. Auch erreichte mich über den CCC Freiburg eine Anfrage der Grünen Landtagsfraktion, die gerne mit Spezialisten darüber sprechen wollte.

Das RKI meldet 21,9 Mio Downloads, davon 11,9 Mio im Android Play Store und 10 Mio im Apple Store. Und 3.000.151 positive und negative Testergebenisse und 44.762 Nutzerinnen und Nutzer ihr positives Testergebnis geteilt. Immerhin haben 58% ihr Testergebniss geteilt. Das finde ich ordentlich.

Leider macht es einfache Nutzungsstatistikwn, die über einen Klick verfügbar wären nicht zugänglich. Das erläutert Sebastian Pertsch sehr eindrücklich. Quelle: https://tvdiskurs.de/beitrag/ein-lehrstueck-fuer-zukuenftige-projekte/

Aber die Frage bleibt: Wieviele Handys sind denn nun in meiner Umgebung, die die Corona-Warn-App installiert haben? Eine junge, technikaffine und wissenschaftsorientierte Gruppe, dürfte deutlich mehr Durchdringung haben, als etwa alternde Antroposophen von Coronarebellen Demos. (Guter Artikel bei Connect)

Darum habe ich zwei Boards TTGO LoRa32 V2.1 _ 1,6 – etwa 18 EUR bei AliExpress, mit der Software PaxCounter bestückt. Die PaxCounter Software war ursprünglich von der Bahn entwicklet worden um anhand der MAC Adressen von Smartphones die ihr Wifi anhaben, ungefähr abschätzen zu können wieviele Personen sich an einem Ort aufhalten. Nung gibt es eine Erweiterung im Code, das sogenannte „Covid-19 Exposure Notification System beacon detection“.

In der Datei PaxCounter.conf, in der man sowieso die Einstellungen für den PaxCounter einstellen kann und muß, kann man dann das Exposure Notification Sensing (ENS) einschalten. Also auf 1 setzen im Code. Dann bekommt man die Daten per TTN übermittelt. Ich habe mir einen TTGO so eingestellt, dass er die Bluetooth Geräte zählt und die Anzahl der Corona Beacons und einen weiteren TTGO, das er die Anzahl der WLAN Geräte bzw. Smartphones zählt und meldet. Das ist alles Datenschutzkonform, es werden keine persönlichen Daten übermittelt, gespeichert oder ausgewertet, lediglich die Anzahl wird übermittelt.

Mit tagio.io habe ich mir ein einfaches Dashboard gebaut. Auf dem ich sehen kann wieviele Bluetooth Geräte gerade in der Nähe sind, wieviele davon wahrscheinlich Smartphones sind und wieviele den Corona Warn-App-Beacon abstrahlen.

Das passt insofern, das ich zuhause ein Android Tablet habe auf dem die App installiert ist und ein iPhone auf dem sie ebenfalls läuft.

Gleichzeitig gibt es für Android auch Apps wie den UUID 0xFD6F Tracer (github) (Guter Beitrag mit unterschiedlichen Apps und Anleitungen). Wenn ich den anmache zählt er in meiner Wohnung ein Gerät, was ja stimmen würde, wenn er sich nicht selbst zählt.

Beide TTGO Boards kommen jetzt zusammen mit einer Powerbank in eine Vesperbrotdose und die kann dann Lastenradbarista mit sich rumtragen. So bekommt man dort nicht nur frischen und guten Kaffee, sondern auch noch ein kleines Citizen Science Projekt.

Meßergebenisse auf der Straße vom Lastenradbarista, an einem Samstag

Und da haben wir die ersten Ergebebnisse. Ich habe heute ab ca 14:30 das Zählgerät beim Lastenrad Barista vorbeigebracht. Der war bis ca 17:00 auf dem Platz. Dazu mal einige Zahlen:

Wieviele Leute haben denn nun die Corona Warn App? Wir messen mit dem PaxCounter! weiterlesen