Supermarkt-Lieferdienste sind in der Pandemie sehr beliebt. Neben den Klassikern sind jetzt Dienste neu im Spiel, die in unter einer Stunde liefern. Einer davon ist Gorillas â hier bekam man nicht nur die bestellten Ăpfel und MĂŒsliriegel in 10 Minuten, sondern genauso schnell auch die Daten aller Kund*innen.
Wie das passieren konnte? Leider mal wieder viel zu einfach. Hier die ganze Geschichte von vorne:
Wir wollten ja eigentlich nichts mehr mit Corona machen, aber dann kam ein Testzentrum dazwischen. đ
Es begann Àhnlich wie das letzte Mal: Ein zerforschungs-Angehöriger war beim Corona-Schnelltest und bekam danach eine E-Mail mit einem Link zu seinem Ergebnis.
Das kam ihm irgendwie fischig đ vor, also haben wir uns das mal angeschaut.
Vor einiger Zeit haben wir unsbereitsClubhouse angeschaut.
Nun gibt es einen neuen, bislang sehr exklusiven deutschen Stern am Audio-Chat-Himmel: Dive â dieser Klon von Clubhouse legt laut GrĂŒnder*innen besonders groĂen Wert auf Datenschutz.
Nachdem ein Zerforschungsmitglied eine Einladung fĂŒr Dive bekommen hat, haben wir routinemĂ€Ăig mal in den Datenverkehr geschaut und leider schon wieder Schlimmes gefunden.
Nur so viel schonmal: Viel besser als Clubhouse ist das nicht.
Update: Inzwischen hat #LucaApp die Lizenz auf eine GPLv3 geÀndert und die fehlenden Lizenzhinweise bei manchen der Files ergÀnzt.
#LucaApp hatte nach viel Kritik und gutem Zureden angekĂŒndigt, ihre App zu OpenSourcen. Nun tauchte das erste Repository auf â mit der schlimmsten Lizenz, die wir seit Langem gelesen haben. Nur Betrachtung, keine VerĂ€nderung, keine Mirrors, etc. đ§”
Wie wir nur mal kurz einen Corona-Test machen wollten und versehentlich in ein Nest voller SicherheitslĂŒcken gefallen sind.
Seit dem 8. MĂ€rz gibt es in Berlin »kostenlose BĂŒrger*innen-Tests«. Ăber das Portal test-to-go.berlin kann man ein Testzentrum finden und einen Termin buchen.
Schon kurz nach Veröffentlichung der Testzentren-Ăbersicht der Berliner Senatsverwaltung fĂŒr Gesundheit, Pflege und Gleichstellung waren wir irritiert: Alles an diesem Online-Portal machte auf uns den Eindruck, doch etwas hastig zusammengestrickt worden zu sein â und das nach nur einem Jahr Pandemie.
Anscheinend ist Internet fĂŒr das @SenGPG immer noch Neuland und sie haben noch nie von Domainsquatting gehört, denn jetzttestenâ.âberlin sowie tests-to-goâ.âberlin (& test2goâ & tests2go & test-togo âŠ) sind noch frei. Das ist besonders bei mĂŒndlicher Weitergabe problematisch. pic.twitter.com/Ai9avSldvo
Da wir ohnehin einen Test machen wollten, konnten wir dieses neue Angebot gleich mal ausprobieren.
Am Testzentrum angekommen wunderten wir uns, dass wir sehr energisch auf die Online-Registrierung hingewiesen wurden.
Wir standen doch schon am Eingang!
Aufgrund der Menge persönlicher Daten, die in der WebApp abgefragt wurden, hÀtten wir eine Online-Erfassung eigentlich gern vermieden.
Nach dem Test freuten wir uns nicht nur ĂŒber das negative Ergebnis â sondern guckten dabei, wie ĂŒblich, auch kurz mit auf den Datenverkehr. Bei einigen URLs hatten wir schon im ersten Moment ein mulmiges GefĂŒhl. Das mulmige GefĂŒhl wĂŒrde in den nĂ€chsten Minuten blankem Entsetzen weichen.
Kennt ihr Flink? Das ist eins der neuerdings auftauchenden Startups, die EinkĂ€ufe nach Hause liefern. Produkte in der App wĂ€hlen, bezahlen und in unter 10 Minuten ist ein*e Fahrradkurier*in bei euch. DafĂŒr gab es auch vor ein paar Tagen erst ordentlich Funding.
Als wir uns die App angeschaut haben, haben wir Erschreckendes festgestellt.
Uns haben in letzter Zeit einige Anfragen zur Sicherheit der Luca App erreicht. Hier ein paar Punkte, warum wir uns die App nicht genauer anschauen (können und wollen) đ§”
In unserem ersten Thread zu Clubhouse hatten wir uns Clubhouse erstmal nur oberflÀchlich angeschaut.
Dabei hatten wir gesehen, dass Clubhouse einen Dienstleister nutzt, um die Telefonie-Funktion anzubieten. Dieser Dienstleister heiĂt Agora.io und wird auch von vielen anderen Apps eingesetzt, unter anderem einer Therapie-App.
Im Thread hatten wir u.a. festgestellt, dass wir problemlos einem Raum lauschen können, ohne den anderen Raumteilnehmer*innen angezeigt zu werden, wenn wir direkt mit Agora kommunizieren.
Umgekehrt kann man so auch in einem Raum angezeigt werden ohne zuzuhören. Das stellt allerdings eher kein Problem dar - schlieĂlich ist man auch auĂerhalb von Clubhouse oft in GesprĂ€chen anwesend ohne wirklich zuzuhören.
We saw that Clubhouse uses an external service provider called Agora.io for the voice call functionality.
Agora.io is also used by many other apps, including a therapy app.
In the thread we found that, among other things, we can easily listen to a room without being displayed to the other room participants if we communicate directly with Agora.
Conversely, you can also be displayed in a room without listening. However, this is not really a problem - after all, even outside Clubhouse you are often present in conversations without really listening.
