Zum hauptinhalt springen

zerforschung

Dive – Use with Hackphones

Abgewandelter Dive Slogan 'Use with Hackphones'

Vor einiger Zeit haben wir uns bereits Clubhouse angeschaut.
Nun gibt es einen neuen, bislang sehr exklusiven deutschen Stern am Audio-Chat-Himmel: Dive – dieser Klon von Clubhouse legt laut Gründer*innen besonders großen Wert auf Datenschutz.

Nachdem ein Zerforschungsmitglied eine Einladung für Dive bekommen hat, haben wir routinemäßig mal in den Datenverkehr geschaut und leider schon wieder Schlimmes gefunden. Nur so viel schonmal: Viel besser als Clubhouse ist das nicht.

Die Luca-Lizenz (LL-ND-NC-WTF)

Dieser Artikel ist ein Archiv dieses Twitter-Threads.
Update: Inzwischen hat #LucaApp die Lizenz auf eine GPLv3 geändert und die fehlenden Lizenzhinweise bei manchen der Files ergänzt.

#LucaApp hatte nach viel Kritik und gutem Zureden angekündigt, ihre App zu OpenSourcen. Nun tauchte das erste Repository auf – mit der schlimmsten Lizenz, die wir seit Langem gelesen haben. Nur Betrachtung, keine Veränderung, keine Mirrors, etc. 🧵

https://gitlab.com/lucaapp/android/-/blob/a30432ec4a01c2ca7ea9ceb26c145e7b620435fc/LICENSE

 Eingeschränkte Lizenz zur Betrachtung des Quellcodes der Applikation „luca“ für Android basierte Geräte  (nachfolgend „Quellcode“) Copyright (c) 2019 - 2021 culture4life GmbH, ihre verbundene Unternehmen und Lizenzgeber.   Alle Rechte vorbehalten. Der Quellcode wird ausschließlich zum Zwecke der Betrachtung für persönliche, nicht-kommerzielle Zwecke auf nicht-ausschließlicher, nicht-unterlizenzierbarer  und nicht-übertragbarer Basis bereitgestellt. Eine darüberhinausgehende Einräumung von Rechten erfolgt nicht.

Wir wissen, wie du diesen Winter getestet wurdest. Ein Corona-Drama in sechs Akten

Wie wir nur mal kurz einen Corona-Test machen wollten und versehentlich in ein Nest voller Sicherheitslücken gefallen sind.

Seit dem 8. März gibt es in Berlin »kostenlose Bürger*innen-Tests«. Über das Portal test-to-go.berlin kann man ein Testzentrum finden und einen Termin buchen.

Schon kurz nach Veröffentlichung der Testzentren-Übersicht der Berliner Senatsverwaltung für Gesundheit, Pflege und Gleichstellung waren wir irritiert: Alles an diesem Online-Portal machte auf uns den Eindruck, doch etwas hastig zusammengestrickt worden zu sein – und das nach nur einem Jahr Pandemie.

Da wir ohnehin einen Test machen wollten, konnten wir dieses neue Angebot gleich mal ausprobieren.

Am Testzentrum angekommen wunderten wir uns, dass wir sehr energisch auf die Online-Registrierung hingewiesen wurden. Wir standen doch schon am Eingang! Aufgrund der Menge persönlicher Daten, die in der WebApp abgefragt wurden, hätten wir eine Online-Erfassung eigentlich gern vermieden.

Nach dem Test freuten wir uns nicht nur über das negative Ergebnis – sondern guckten dabei, wie üblich, auch kurz mit auf den Datenverkehr. Bei einigen URLs hatten wir schon im ersten Moment ein mulmiges Gefühl. Das mulmige Gefühl würde in den nächsten Minuten blankem Entsetzen weichen.

Deine Kundendaten – geliefert in 10 Minuten

Deine Daten geliefert in 10 Minuten. We are Flink

Kennt ihr Flink? Das ist eins der neuerdings auftauchenden Startups, die Einkäufe nach Hause liefern. Produkte in der App wählen, bezahlen und in unter 10 Minuten ist ein*e Fahrradkurier*in bei euch. Dafür gab es auch vor ein paar Tagen erst ordentlich Funding.

Als wir uns die App angeschaut haben, haben wir Erschreckendes festgestellt.

Einreisen zum Ausrasten - die neue Corona-SMS

Dieser Artikel ist ein Archiv dieses Twitter-Threads.

Gestern wurde bekannt gegeben, dass ab morgen Einreisenden bei der Einreise eine SMS gesendet wird, um sie über die Corona-Regeln zu informieren.

Wir haben privat schon ein bisschen Witze gemacht, dass die SMS sicher nur einen Link auf eine Website enthält …


Heute haben wir dann den vollständigen Text dieser SMS gefunden ( https://www.bundesgesundheitsministerium.de/presse/pressemitteilungen/2021/1-quartal/corona-sms.html ) und was sollen wir sagen… Bingo!

Die Bundesregierung: Willkommen/Welcome! Bitte beachten Sie die Test-/Quarantäneregeln; please follow the rules on tests/quarantine: https://bmg.bund.de/covid19

No one else was in the room where it happened - den Clubhousefrieden stören

Titelbild

Was bisher geschah …

In unserem ersten Thread zu Clubhouse hatten wir uns Clubhouse erstmal nur oberflächlich angeschaut.

Dabei hatten wir gesehen, dass Clubhouse einen Dienstleister nutzt, um die Telefonie-Funktion anzubieten. Dieser Dienstleister heißt Agora.io und wird auch von vielen anderen Apps eingesetzt, unter anderem einer Therapie-App. Im Thread hatten wir u.a. festgestellt, dass wir problemlos einem Raum lauschen können, ohne den anderen Raumteilnehmer*innen angezeigt zu werden, wenn wir direkt mit Agora kommunizieren.

Umgekehrt kann man so auch in einem Raum angezeigt werden ohne zuzuhören. Das stellt allerdings eher kein Problem dar - schließlich ist man auch außerhalb von Clubhouse oft in Gesprächen anwesend ohne wirklich zuzuhören.

… und wie es weiter ging …

No one else was in the room where it happened - disturbing the clubhouse peace

Coverimage

What happened so far …

In our first thread on Clubhouse (in german) we had only taken a superficial look at Clubhouse.

We saw that Clubhouse uses an external service provider called Agora.io for the voice call functionality. Agora.io is also used by many other apps, including a therapy app. In the thread we found that, among other things, we can easily listen to a room without being displayed to the other room participants if we communicate directly with Agora.

Conversely, you can also be displayed in a room without listening. However, this is not really a problem - after all, even outside Clubhouse you are often present in conversations without really listening.

… and what happened next …

Daten aus dem Untergrund

Wie im Artikel über unsere CWA-Messungen in Berliner U-Bahnen versprochen, veröffentlichen wir nun die Daten aus unseren Messungen. Um weitere Auswertungen mit den Daten möglichst einfach zu machen, haben wir ein paar Vorverarbeitungsschritte gemacht. Dabei haben wir außerdem alle nicht benötigten Daten, die als persönliche Daten gewertet werden könnten, entfernt. Keine dieser Veränderungen sollte die Auswertbarkeit der Daten beeinträchtigen. Eine genaue Beschreibung, welche Änderungen wir vorgenommen haben und eine Beschreibung des Datenformats befindet sich im Readme des Repositories.

Das GitHub repo mit den Daten und Doku ist unter https://github.com/zerforschung/Covid32Data zu finden