# COVID-19

Thursday, April 29, 2021

Liebes Pandemie Tagebuch,

Es sind die kleinen Dinge, die einem durch die Krise helfen…

Wednesday, April 28, 2021

Und wieder eine Sicherheitslücke in der Luca App (für Android)

Die gute Nachricht lautet, dass sie sich nicht einfach ausnutzen lässt. Die schlechte Nachricht ist… eher schlecht.

Tuesday, April 27, 2021

Mich ärgert ja folgende Aussage von Patrick Henning (Nexenio):

Wenn er [Jan Böhmermann] meint, in einer Pandemie gibt es einen Wettlauf, wer wie Systeme missbrauchen kann, dann kann ich ihm noch zehn andere Systeme nennen, die er schlimmer missbrauchen kann

Man muss sich die Unverschämtheit an der Stelle mal auf der Zunge zergehen lassen. Nexenio wusste von Anfang an, dass es Missbrauch geben würde. Die Tatsache, dass sich Menschen unter falschem Namen in Gästelisten eintragen war bereits während der Planungsphase der Luca App bekannt und das SMS TAN Verfahren ist ein Eingeständnis, dass Luca genau dieses Problem lösen sollte. Die Validierung von zumindest der Telefonnummer war dann auch das große Werbeversprechen, mit dem Smudo durch die Talkshows tingelte.

Wenn du einen Geldautomaten baust, bei dem man lediglich Kontonummer und Betrag eingeben muss, dann kannst du auch nicht die Verantwortung auf die Bankräuber abwälzen, das System nicht zu missbrauchen!

Unter diesen Voraussetzungen erfordert es schon eine besondere Form von Chuzpe, sich überrascht davon zu geben, dass Menschen unkooperativ sind, zu argumentieren, dass es OK ist, wenn zugesicherte, zentrale Funktionen nicht funktionieren, weil die Konkurrenz es noch schlechter macht und das Produkt trotzdem nicht vom Markt zu nehmen (sogar noch weiter zu bewerben!), obwohl klar ist, dass es ein Pandemietreiber ist und Menschenleben kosten wird.

So langsam nimmt das hier echt soziopathische Züge an.

Thursday, April 22, 2021

Nochmal zur Checkin Funktion der Corona Warn App: bei Luca wollten sie uns ja einen App Zwang über den Umweg des Hausrechts überhelfen. Jetzt wo die CWA auch Checkin kann, gibt es eigentlich keinen Grund mehr, überhaupt noch Luca auf Luca zu setzen. In jedem Fall aber muss ein Restaurant nun beides anbieten, was uns zu zwei wichtigen Fragen bringt:

  1. Haben wir es gerade geschafft, über die Hintertür einer Hintertür den Zwang zur Nutzung der CWA einzuführen (entgegen allen Versprechungen, dass die Nutzung freiwillig ist)?
  2. Was genau hindert mich eigentlich daran, die CWA vor Besuch eines Restaurants zu installieren und danach sofort wieder zu löschen?

Merkt eigentlich überhaupt noch jemand, wie hirnlos und am Sinn der Sache vorbei das Ganze betrieben wird? Die Kontaktverfolgungerfassung ist mittlerweile zu einem reinem Selbstzweck verkommen und völlig kontraproduktiv!

Wednesday, April 21, 2021

Manchmal verstehe ich meine Fellow Nerds nicht. Hatten wir uns nicht gerade darauf verständigt, dass die Checkin Funktion bei Luca broken by design ist, weil z.B. ein Zoo lediglich einen Checkin Point am Eingang haben kann, damit hunderte Leute gleichzeitig an einer Veranstaltung teilnehmen können (ohne sich tatsächlich zu begegnen), die Hälfte davon wahrscheinlich den Checkout verbummelt (damit nach Verlassen der Veranstaltung noch Kontakte sammelt) und das Gesundheitsamt am Ende unter einem nicht auswertbarem Datenberg begraben wird?

Jetzt kriegt die Corona Warn App dieses Feature auch und da isses auf einmal toll und empfehlenswert?

Tuesday, April 20, 2021

Ihr kennt das vielleicht. Einmal nicht aufgepasst, und schon hat man versehentlich Zugangsdaten in seine Versionsverwaltung eingecheckt. Aber gleich ganze Verträge? So langsam übertreibt es culture4life echt ein bisschen.

Tja, da hätten wir also die Vereinbarung zur Datenverarbeitung im Auftrag. Was steht da so feines drin?

Präambel (A):

culture4life wird bei der Erfüllung seiner vertraglichen Pflichten [..] voraussichtlich Zugriff auf personenbezogene Daten erhalten und diese nach Weisung des Auftraggebers im Rahmen der vertraglichen Zusammenarbeit verarbeiten.

Äh… ja? War genau das nicht das große Werbeversprechen und der Grund für den ganzen Crypto Klimbim, dass ihr eben keinen Zugriff auf personenbezogene Daten erhaltet?

§2.4

culture4life wird personenbezogene Daten ausschließlich innerhalb von Mitgliedstaaten der Europäischen Union oder von Vertragsstaaten des Europäischen Wirtschaftsraumes verarbeiten. Eine Verlagerung und Verarbeitung personenbezogener Daten in Drittländer bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) erfüllt sind.

Na das ist aber beruhigend… zumindest bis…

§5.1

Die Beauftragung von Dritten mit der Durchführung der Datenverarbeitung durch culture4life (nachstehend „Unterauftragnehmer“) ist nach vorheriger schriftlicher Zustimmung des Auftraggebers zulässig. Der Auftraggeber wird seine Zustimmung nicht ohne wichtigen datenschutzrechtlichen Grund verweigern.

Moment… ihr wollt ja jederzeit irgendwelche Subunternehmer an Bord holen können? Das ist doch dieses Zeitschriftenabo-and-der-Haustüre Drückerkolonnen Geschäftsmodel, oder? Wen habt ihr denn schon so an Bord?

§5.3

Der Auftraggeber stimmt bereits jetzt der Beauftragung der nachfolgenden Unterauftragnehmer durch culture4life zu:

Firma des Unterauftragnehmers Beschreibung der Leistungen Ort der Datenverarbeitung
neXenio GmbH Wartung und Betrieb Deutschland
Telekom Deutschland Software-Hosting-Leistungen, SMS-Versandleistungen Deutschland und Ungarn
Mailjet SAS E-Mail-Versand-Leistungen Frankreich, Deutschland, Belgien, Vereinigtes Königreich

Hmja, Vereintes Königreich, DSGVO (§2.4). Habt ihr irgendwie das mit dem Brexit nicht mitbekommen oder sah das letztes Jahr noch nicht so akut aus?

Monday, April 19, 2021

So ein dämliches Argument, dass ich immer wieder höre, warum wir contact tracing apps brauchen ist die “Clustererkennung”. Also die komische Annahme, dass wir Infektionshotspots erkennen könnten, wenn wir Flöhe mit digitalen Helferlein hüten.

Wisst ihr, wie ich Clustererkennung implementieren würde? Telefonbuch aufschlagen, nach “*Schule” und “Gymnasium” suchen!

Ich lese auf Play immer wieder Kommentare von Anwendern zu Luca, die der App 1* gegeben haben, weil sie private Treffen nicht beenden konnten.

Das UI Element zum Beenden eines Treffens ist ein Slider, kein Button. Das ist auf der einen Seite sinnvoll, weil es dadurch nahezu unmöglich wird, versehentlich auszuchecken. Auf der anderen Seite sind Slider unter Android eher unüblich, weil eben unhandlich, weswegen Nutzer sie nicht erwarten.

Und damit wäre eigentlich schon alles zur Sinnhaftigkeit von Contacttracingapps gesagt, was da zu sagen wäre: wir setzen unsere Hoffnung auf Hightech Spielzeug in den Händen von Anwendern, die noch nicht einmal den Ein/Aus Schalter finden.

Luca - die Sache mit dem Nutzungsvertrag

Ein kleines Randdetail, das euch so richtig sauer machen sollte.

Dafuq?! Ich hatte ja schon aufgehört mir das SMS TAN Verfahren bei Luca anzuschauen, nachdem klar wurde, dass das smoke & mirrors ist und man sich ne eigene App basteln kann, in der man das einfach weglässt. Und jetzt kursiert im Netz dieses geile Fundstück (Code aus der Originalversion):

package de.culture4life.luca.ui.registration;

// [..]
public class RegistrationViewModel extends BaseViewModel {

// [..]
  public boolean isUsingTestingCredentials() {
        return Objects.equals(firstName.getValue(), "John")
                && Objects.equals(lastName.getValue(), "Doe")
                && Objects.equals(phoneNumber.getValue(), "+4900000000000")
                && Objects.equals(email.getValue(), "john.doe@gmail.com");
    }

// [..]

    boolean isValidPhoneNumber(String phoneNumberString) {
        if (isUsingTestingCredentials()) {
            return true;
        }
        try {
            Phonenumber.PhoneNumber phoneNumber = phoneNumberUtil.parse(phoneNumberString, GERMAN_REGION_CODE);
            return phoneNumberUtil.isValidNumber(phoneNumber);
        } catch (NumberParseException e) {
            return false;
        }
    }

// [..]
}

Ja herzlichen Glückwunsch! Die Produktivversion mit Debugcode ausgeliefert. Das muss man erstmal schaffen. Und dieser Frickelbude sollen wir allen ernstes den technischen Unterbau für eine nationale Öffnungsstrategie anvertrauen? Ich glaub mein Schwein pfeift!

Der Bug da oben erlaubt es euch zwar nicht euch als “Darth Vader”, aber zumindest als “John Doe” ins virtuelle Luca Gästebuch einzuchecken und solange eure Telefonnummer +4900000000000 lautet braucht ihr auch keine TAN.

Anmerkung: Das ist ein Bug, kein konzeptioneller Fehler und daher leicht zu beheben. Aber es reiht sich eben auch nahtlos in eine (viel zu) lange Liste von Stümpereien ein.