Corona-App ein eklatanter Betrug urteilt Schweizer Experte
Google und Apple haben einen gemeinsamen Standard für die Corona-Tracing Apps zumindest in Europa und vielen anderen Ländern durchgesetzt. Die Apps sind angeblich Open Source, dezentralisiert und schützen die Privatsphäre. Daran veröffentlichte nun EPFL-Informatik-Professor Serge Vaudenay (EPFL – École polytechnique fédérale de Lausanne) eine vernichtende Kritik. Von Open Source keine Rede und die Server stehen bei Amazon.
Die WHO kam in einer Studie von 2019 zu Grippepandemien zum Ergebnis, dass Kontaktverfolgung “unter keinen Umständen zu empfehlen” ist, da epidemiologisch nicht sinnvoll. Das scheint sich ja mittlerweile geändert zu haben. NSA-Whistleblower Edward Snowden warnte in diesem Zusammenhang, dass Corona als Vorwand benutzt wird, um die Massenüberwachung der Gesellschaft umfassend auszubauen.
Zentralisierung bei Apple und Google
Die in der Vaudenay-Analyse erwähnte, nicht-einsehbare Schnittstelle zur Kontaktverfolgung wurde von Google und Apple inzwischen in drei Milliarden Mobiltelefone integriert. Vaudenay schreibt dazu: “Wir können nun sehen, dass das dezentralisierte DP3T-System zu einem undurchsichtigen System wurde, das bei Google-Apple-Services zentralisiert ist.”
Hier die Zusammenfassung der Erkenntnisse durch Prof. Serge Vaudenay und Martin Vuagnoux zur App SwissCovid, die in dieser Form auf die meisten in Europa verwendeten und auf Basis der von Apple und Google produzierten Schnittellen basierenden Apps zutrifft:
- Gerd Reuther (Autor)
-
„Obwohl der Quellcode der App zur Verfügung steht, können wir sie nicht kompilieren, ausführen und zum Laufen bringen, ohne eine Vereinbarung mit Apple oder Google zu unterzeichnen. Wir finden die App daher nicht kompatibel mit dem Begriff “Open Source”.“
- „Ein großer Teil des Kontaktverfolgungsprotokolls wird von Apple-Google in einem Teil des Systems namens GAEN implementiert. Dieser Teil hat keinen verfügbaren Quellcode,.“
- „Einige Server werden von Amazon als Teil eines externen Dienstes gehostet.“
- „Die verfügbaren Informationen für potenzielle Benutzer sind unklar, unvollständig oder falsch.“
- „Benutzer können bei der Benutzung von SwissCovid durch Überwachungssysteme Dritter aufgespürt oder identifiziert werden.“
- „Diagnostizierte Benutzer, die einen Bericht absenden, haben ein Risiko, von einer Drittpartei identifiziert zu werden.“
- „Dritte könnten auf einem Zieltelefon oder auf einer großen Gruppe von Zieltelefonen falsche Warnungen vor einer möglichen Infizierung eingeben. Dies würde dazu führen, dass Menschen in Quarantäne gehen müssten, ohne wirklich gefährdet zu sein.“
„Die Behauptung, dass GAEN Teil des Betriebssystems des Telefons oder Teil der Bluetooth-Schnittstelle des Telefons sei und dass es nicht üblich sei, die Offenlegung des Quellcodes solcher Teile zu verlangen, ist falsch. Wie bestreiten, dass GAEN ein solcher Teil des Telefons ist, zumindest auf Android-Telefonen. GAEN ist Teil der Google Play Services, die unabhängig vom Betriebssystem und von den Kommunikationsschnittstellen sind.“
„Darüber hinaus ist der größte Teil des früheren DP3T-Protokolls (zur “dezentralen” Kontaktverfolgung), das in der ursprünglichen Version implementiert war, in der aktuellen Version der Anwendung verschwunden, da ein äquivalentes Protokoll jetzt in GAEN integriert ist.“
„Wir kommen zu dem Schluss, dass es keine fundierte technische Rechtfertigung für den Ausschluss von GAEN aus den Komponenten des Systems gibt.”
“Fast alles, was sensibel ist, wird von der GAEN-API [der Schnittstelle von Google und Apple] behandelt, die keinen Quellcode zur Verfügung stellt und die wir niemals kompilieren oder analysieren können.“
“Die aktuelle Beziehung mit Google-Apple bringt SwissCovid in eine seltsame Situation. () Die Benutzer müssen zustimmen, ihre persönlichen Informationen an Google-Apple weiterzugeben, während SwissCovid diese nicht verwenden darf. Ebenso ist es der SwissCovid-Applikation verboten, den Standort zu verwenden. Die Google-Play-Services verwenden jedoch Zugriff auf Geräte, Fotos, Standort, Lesezeichen, Kalender, Speicherplatz, Telefon, Mikrofon, Geräte-ID, Kamera, Kontakte, Wi-Fi, Gerätestatus und -verlauf, Identität, SMS und viele andere Privilegien. Da iOS geschlossen ist, könnten wir nichts sagen, aber es wird wohl dasselbe sein.”
“Es gab eine Kontroverse über die Einführung zentralisierter oder dezentralisierter Systeme. Wir können nun sehen, dass das dezentralisierte DP3T-System zu einem undurchsichtigen System wurde, das bei Google-Apple-Services zentralisiert ist.“
“Unabhängig von SwissCovid wird die gleiche Bluetooth-Technologie bereits von Apple und Google zur Ortung von Bluetooth-Geräten verwendet. Die Nichtverwendung von GPS bedeutet nicht, dass es unmöglich ist, ein Telefon zu orten.“
“Da der größte Teil des Systems von der Google-Apple-Schnittstelle implementiert wird, bleibt von DP3T (dem “dezentralen” Contact Tracing) nicht viel übrig.”
Auflistung der einzelnen Sicherheitsrisiken im Originalbericht.
- “Wir haben gezeigt, dass SwissCovid kritische Bedrohungen der Sicherheit und der Privatsphäre schafft. Egal ob sie reduziert werden oder nicht, so sind wir der Meinung, dass sie auf jeden Fall kommuniziert werden müssen.”
- “Noch wichtiger ist, dass die verfügbaren Informationen unzureichend sind, dass es Falschinformationen über Anonymität und Open Source gibt, dass es keine öffentlichen Sicherheitstests zu geben scheint, und dass die Entwickler von SwissCovid an Entscheidungen von Google-Apple gebunden sind.”
- “Uns ist bekannt, dass bereits mehrere Angriffe empirisch getestet und gemeldet worden sind. Unser Hauptpunkt ist, dass freiwillige Nutzer sich dieser Angriffe bewusst sein sollten. Sie mögen für die meisten von ihnen als geringfügig, für einige jedoch als von entscheidender Bedeutung angesehen werden. Bislang schweigt die dem Benutzer zur Verfügung gestellte Dokumentation dazu.“
