Zum hauptinhalt springen

zerforschung

No one else was in the room where it happened - disturbing the clubhouse peace

Coverimage

What happened so far …

In our first thread on Clubhouse (in german) we had only taken a superficial look at Clubhouse.

We saw that Clubhouse uses an external service provider called Agora.io for the voice call functionality. Agora.io is also used by many other apps, including a therapy app. In the thread we found that, among other things, we can easily listen to a room without being displayed to the other room participants if we communicate directly with Agora.

Conversely, you can also be displayed in a room without listening. However, this is not really a problem - after all, even outside Clubhouse you are often present in conversations without really listening.

… and what happened next …

Daten aus dem Untergrund

Wie im Artikel über unsere CWA-Messungen in Berliner U-Bahnen versprochen, veröffentlichen wir nun die Daten aus unseren Messungen. Um weitere Auswertungen mit den Daten möglichst einfach zu machen, haben wir ein paar Vorverarbeitungsschritte gemacht. Dabei haben wir außerdem alle nicht benötigten Daten, die als persönliche Daten gewertet werden könnten, entfernt. Keine dieser Veränderungen sollte die Auswertbarkeit der Daten beeinträchtigen. Eine genaue Beschreibung, welche Änderungen wir vorgenommen haben und eine Beschreibung des Datenformats befindet sich im Readme des Repositories.

Das GitHub repo mit den Daten und Doku ist unter https://github.com/zerforschung/Covid32Data zu finden

Clubhouse really likes your phone book

Dieser Artikel ist auch auf Deutsch erschienen.


tl;dr: Every time you open the invite tab, clubhouse uploads all the phone numbers from your address book.


Clubhouse is currently invite-only, which is probably part of the current hype. To invite someone you have to give Clubhouse access to your address book. This has been criticized several times. There has been a lot of discussion about how Clubhouse uses this address book data. We took a look and document how clubhouse currently uses the data from your address book and how it could be done better.

Clubhouse mag dein Telefonbuch wirklich gern

This article was also published in english.


tl;dr: Jedes mal, wenn man das Invite-Tab öffnet, werden alle Telefonnummern aus dem Adressbuch hochgeladen.


Clubhouse ist aktuell invite-only, was vermutlich einen Teil des aktuellen Hypes ausmacht. Um eine Person einzuladen muss man Clubhouse Zugriff auf das eigenene Adressbuch geben. Dies wurde bereits mehrfach kritisiert. Es gab viel Diskussion, wie Clubhouse diese Adressbuch-Daten nutzt. Wir haben uns angeschaut, wie Clubhouse das Adressbuch verwendet und wie es besser ginge.

Auf der Suche nach Corona im Berliner Untergrund

Titelbild

In Bussen und Bahnen steckt man sich nicht mit Corona an, behaupten die Verkehrsunternehmen immer wieder1 und starten Werbekampagnen zum “wieder einsteigen”. Das erscheint auf den ersten Blick irrational, da ÖPNV-Umgebungen viele Merkmale aufweisen, die laut RKI das Infektionsrisiko erhöhen: viele Menschen, geringe Abstände, geschlossene Räume.

Die Verbünde begründen ihr Vertrauen in die Sicherheit des ÖPNV damit, dass nur ein Bruchteil der ans RKI gemeldeten Infektionsorte Bus und Bahn betreffen.

Allerdings konnten die Gesundheitsämter mehr als 75% der Übertragungsorte gar nicht ermitteln.

Der ÖPNV ist ein idealer “versteckter” Übertragungsort: Viele Zufallsbegegnungen mit ständig wechselnden, unbekannten Menschen. Es ist damit unmöglich, ein Kontakttagebuch zu führen und diese Kontakte dem Gesundheitsamt mitzuteilen.

Um die tatsächliche Gefahr einschätzen zu können, überlegten wir uns also, wie wir bessere Daten über Coronafälle im ÖPNV erfassen können.

Nach kurzer Überlegung, uns selbst in die Bahn zu stellen und die Leute zu fragen, ob sie Corona haben und dabei unsere Gesundheit zu gefährden, hatten wir eine sehr viel bessere Idee…

Stadia Controller Explosionsgrafik

Google verschenkte letztens wieder Hardware. Das Bedürfnis, neue Hardware sofort aufzuschrauben, machte auch bei diesem Gerät keine Ausnahme und so dokumentierten wir den Prozess auf Twitter.

Und da das Gerät eh schon einmal offen war, wollte es auch noch mal in schön fotografiert werden. Durch Inspiration der großartigen Fotos von Evan Amos, der seine Aufnahmen in seinem Buch „The Game Console“ veröffentlichte, aber sie vor allem der Allgemeinheit unter CC0 schenkt, entstand die Idee, eine Explosionsgrafik zu erstellen.

Explosionsgrafik Stadia Controller

Explosionsgrafik Stadia Controller

Das ganze ist aufwendig, aber durchaus an einem Abend machbar. Nach dem Vorbild von Evan Amos haben wir die Grafik nun auch unter einer freien Lizenz auf Wikimedia Commons geladen. Die Auflösung der Grafik ist leider etwas niedriger als gewünscht, was einfach mit der Auflösung der zur Verfügung stehenden Kamera zu tun hat.

Wir möchten etwas ausprobieren: Wenn euch unsere Arbeit gefällt, dann überlegt doch, ob ihr uns nicht unterstützen wollt. Wir arbeiten gerade an einem größeren Projekt, was durchaus etwas kostenintensiver ist. Aber auch Hardware zum auseinandernehmen und Werkzeuge kann man uns zukommen lassen.

Hier noch ein paar weitere Fotos des Stadia Controllers.

99 Notfallapps auf ihrem Weg zum Cell Broadcast

Headerbild mir Sirene

Wie ihr alle mitbekommen habt (oder vielleicht eben auch nicht) fand am 10. September der erste bundesweite Warntag statt. Neben Sirenen und Rundfunkunterbrechungen sollten auch die Warn-Apps getestet werden. Aus nicht wirklich nachvollziehbaren Gründen gibt es in Deutschland nicht die eine Warnapp™, nein, es steigen gleich drei wichtige Apps in den Ring:

  • NINA: Die vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe bereitgestellte App, in deren Fokus die Auslieferung von Katastrophenmeldungen, die in den Zuständigkeitsbereich des Bundes fallen.
  • Katwarn: Ursprünglich im Auftrag des Verbandes Öffentlicher Versicherer von Fraunhofer FOKUS entwickelt, wird aber mittlerweile von vielen Gemeinden, Kreisen und Ländern als offizieller Kanal zum Ausspielen von Katastrophenwarnungen in deren jeweiliger Zuständigkeit genutzt. Zusätzlich existiert nur für Hessen noch eine eigene, weitere App HessenWARN, deren zusätzliche Existenzberechtigung mir komplett schleierhaft ist.
  • BIWAPP: Als weitere regionale Warnapp, die von der Marktplatz GmbH entwickelt und betrieben wird, und für manche Kreise, Städte und Gemeinden als deren offizielle Warnapp fungiert.

Bis vor kurzem mussten sich BürgerInnen selbst informieren, welche App denn jetzt für ihre Region zuständig ist - um sicher zu gehen aber jedoch alle drei Apps installiert und aktiviert haben, da man sich nicht zwingenderweise immer im gleichen Landkreis aufhält. (okay, dieses Jahr vielleicht schon). Seit Februar 2019 tauschen die Apps ihre Meldungen mit NINA aus (wobei es wohl keinen Austausch zwischen BIWAPP und Katwarn gibt). Das macht doch Lust auf mehr!

Jedenfalls sollten diese Apps jetzt im Rahmen des Warntags im großen Stile getestet werden, was bei uns doch etwas Interesse hervorrief. So entstand im vorhinein des Warntages die Idee, die Verfügbarkeit der hinter den Warnapps stehenden Serverinfrastruktur von außen zu monitoren. Kurz vor knapp haben wir das ganze am Abend vor dem Warntag dann auch tatsächlich noch schnell eingerichtet.

Da Monitoring der Verfügbarkeit von Infrastruktur ein normales Vorgehen für den Betrieb von IT ist, gibt es dafür auch eine Menge an fertigen Tools. Die Tools sind in der Regel dafür ausgelegt, Infrastruktur “von außen” (aus dem Internet) zu beobachten, da bei einem Komplettausfall ein internes Monitoring (im selben Netz, Rechenzentrum, …) auch weg sein könnte. Zudem ist es einfach sinnvoller von Außen zu testen, wenn der normale Anwendungsfall auch von außen passiert.

Übersicht der Schnittstellen in UptimeRobot

Übersicht der Schnittstellen in UptimeRobot

Wir haben dafür den Service UptimeRobot auf sämtliche uns bekannte Schnittstellen der Apps angesetzt. Dieses Tool misst minütlich, ob der entsprechende Server verfügbar ist und wie lange dieser zum Antworten braucht. Ist die Antwortzeit ungewöhnlich lange, ist das ein Indiz dafür, das der entsprechende Server überlastet ist. Die Infrastruktur für das Ausliefern von Push-Notifications lässt sich von außen leider nicht ohne weitere Informationen über das System monitoren.

Um an die Information zu kommen, mit welchen Servern und Schnittstellen die Apps sprechen, musste wir die Apps auseinander nehmen - denn die Schnittstellen sind nicht öffentlich dokumentiert und wurden bislang auch nicht auf Anfragen nach dem Informationsfreiheitsgesetz herausgegeben.

Leider ist es uns in der knappen Zeit nicht gelungen, die Schnittstellen aller Apps heraus zu finden. So konnten wir bei Katwarn nur die ping Zeiten der Server, jedoch nicht die wirkliche Reaktionszeit des Dienstes überwachen.

Außerdem haben wir noch die Info-Webseiten der Apps mit ins Monitoring aufgenommen.


Und dann kam alles anders schlimm.

Donnerstag, 10. September 2020, 11 Uhr. Die Sirenen heulen leise am Horizont, aber die Apps pushen nicht.

zerforschung, die – Erkenntnisgewinn durch Kaputtmachung

◀️⚒️

Bevor ein Mythos entsteht, wie es zu dem Namen kam, möchten wir hier unsere eigene Darstellung platzieren:

Niemand wusste wie man “reverse engineering” schreibt oder an deutsche Zeitformen anpasst und erst recht niemand wie man es eindeutscht. Nunja, das Ergebnis “zerforschung” hat knapp gegen “Zurückentwicklung” gewonnen.

Was das ganze hier werden soll, weiß man natürlich eh erst später. Aber momentan ist geplant, dass dies der Ort wird, an dem wir unsere Spaßprojekte endzwischenlagern können und auch der ein oder andere Twitterthread für die Nachwelt (oder einfach alle die es hassen Twitterthreads zu lesen) festgehalten wird. Content, der bisher verteilt über verschiedene Twitterthreads und Accounts ins Netz geblasen wurde, aber eigentlich zu schade ist, als Puzzleteile im Netz zu verschwinden soll hier ein zu Hause finden.

Bisherige Projekte, haben wir versucht in “Projekte” zu sammeln.

Wenn ihr wissen wollt wer wir sind um uns wegen hackenz zu verklagen, dann findet ihr unsere Kontaktdaten hier, wenn ihr uns aber wundersame Hardware zukommen lassen wollt oder einfach nur Feedback geben wollt, dann findet ihr die Kontaktdaten auf der dafür vorgesehenen Seite.

Der Rechtsweg ist ausgeschlossen, Familienmitglieder von zerforschungsmitarbeitenden dürfen nicht teilnehmen.