Wie wir nur mal kurz einen Corona-Test machen wollten und versehentlich in ein Nest voller Sicherheitslücken gefallen sind.

Seit dem 8. März gibt es in Berlin »kostenlose Bürger*innen-Tests«. Über das Portal test-to-go.berlin kann man ein Testzentrum finden und einen Termin buchen.

Schon kurz nach Veröffentlichung der Testzentren-Übersicht der Berliner Senatsverwaltung für Gesundheit, Pflege und Gleichstellung waren wir irritiert: Alles an diesem Online-Portal machte auf uns den Eindruck, doch etwas hastig zusammengestrickt worden zu sein – und das nach nur einem Jahr Pandemie.

Anscheinend ist Internet für das @SenGPG immer noch Neuland und sie haben noch nie von Domainsquatting gehört, denn jetzttesten​.​berlin sowie tests-to-go​.​berlin (& test2go​ & tests2go & test-togo …) sind noch frei.
Das ist besonders bei mündlicher Weitergabe problematisch. pic.twitter.com/Ai9avSldvo

— zerforschung (@zerforschung) March 7, 2021

Da wir ohnehin einen Test machen wollten, konnten wir dieses neue Angebot gleich mal ausprobieren.

Am Testzentrum angekommen wunderten wir uns, dass wir sehr energisch auf die Online-Registrierung hingewiesen wurden. Wir standen doch schon am Eingang! Aufgrund der Menge persönlicher Daten, die in der WebApp abgefragt wurden, hätten wir eine Online-Erfassung eigentlich gern vermieden.

Nach dem Test freuten wir uns nicht nur über das negative Ergebnis – sondern guckten dabei, wie üblich, auch kurz mit auf den Datenverkehr. Bei einigen URLs hatten wir schon im ersten Moment ein mulmiges Gefühl. Das mulmige Gefühl würde in den nächsten Minuten blankem Entsetzen weichen.

Kennt ihr Flink? Das ist eins der neuerdings auftauchenden Startups, die Einkäufe nach Hause liefern. Produkte in der App wählen, bezahlen und in unter 10 Minuten ist ein*e Fahrradkurier*in bei euch. Dafür gab es auch vor ein paar Tagen erst ordentlich Funding.

Als wir uns die App angeschaut haben, haben wir Erschreckendes festgestellt.

Uns haben in letzter Zeit einige Anfragen zur Sicherheit der Luca App erreicht. Hier ein paar Punkte, warum wir uns die App nicht genauer anschauen (können und wollen) 🧵

Gestern wurde bekannt gegeben, dass ab morgen Einreisenden bei der Einreise eine SMS gesendet wird, um sie über die Corona-Regeln zu informieren.

Wir haben privat schon ein bisschen Witze gemacht, dass die SMS sicher nur einen Link auf eine Website enthält …

Heute haben wir dann den vollständigen Text dieser SMS gefunden ( https://www.bundesgesundheitsministerium.de/presse/pressemitteilungen/2021/1-quartal/corona-sms.html ) und was sollen wir sagen… Bingo!

Was bisher geschah …

In unserem ersten Thread zu Clubhouse hatten wir uns Clubhouse erstmal nur oberflächlich angeschaut.

Dabei hatten wir gesehen, dass Clubhouse einen Dienstleister nutzt, um die Telefonie-Funktion anzubieten. Dieser Dienstleister heißt Agora.io und wird auch von vielen anderen Apps eingesetzt, unter anderem einer Therapie-App. Im Thread hatten wir u.a. festgestellt, dass wir problemlos einem Raum lauschen können, ohne den anderen Raumteilnehmer*innen angezeigt zu werden, wenn wir direkt mit Agora kommunizieren.

Umgekehrt kann man so auch in einem Raum angezeigt werden ohne zuzuhören. Das stellt allerdings eher kein Problem dar - schließlich ist man auch außerhalb von Clubhouse oft in Gesprächen anwesend ohne wirklich zuzuhören.

… und wie es weiter ging …

Wie im Artikel über unsere CWA-Messungen in Berliner U-Bahnen versprochen, veröffentlichen wir nun die Daten aus unseren Messungen. Um weitere Auswertungen mit den Daten möglichst einfach zu machen, haben wir ein paar Vorverarbeitungsschritte gemacht. Dabei haben wir außerdem alle nicht benötigten Daten, die als persönliche Daten gewertet werden könnten, entfernt. Keine dieser Veränderungen sollte die Auswertbarkeit der Daten beeinträchtigen. Eine genaue Beschreibung, welche Änderungen wir vorgenommen haben und eine Beschreibung des Datenformats befindet sich im Readme des Repositories.

Das GitHub repo mit den Daten und Doku ist unter https://github.com/zerforschung/Covid32Data zu finden

This article was also published in english.

tl;dr: Jedes mal, wenn man das Invite-Tab öffnet, werden alle Telefonnummern aus dem Adressbuch hochgeladen.

Clubhouse ist aktuell invite-only, was vermutlich einen Teil des aktuellen Hypes ausmacht. Um eine Person einzuladen muss man Clubhouse Zugriff auf das eigenene Adressbuch geben. Dies wurde bereits mehrfach kritisiert. Es gab viel Diskussion, wie Clubhouse diese Adressbuch-Daten nutzt. Wir haben uns angeschaut, wie Clubhouse das Adressbuch verwendet und wie es besser ginge.

In Bussen und Bahnen steckt man sich nicht mit Corona an, behaupten die Verkehrsunternehmen immer wieder¹ und starten Werbekampagnen zum “wieder einsteigen”. Das erscheint auf den ersten Blick irrational, da ÖPNV-Umgebungen viele Merkmale aufweisen, die laut RKI das Infektionsrisiko erhöhen: viele Menschen, geringe Abstände, geschlossene Räume.

Die Verbünde begründen ihr Vertrauen in die Sicherheit des ÖPNV damit, dass nur ein Bruchteil der ans RKI gemeldeten Infektionsorte Bus und Bahn betreffen.

Allerdings konnten die Gesundheitsämter mehr als 75% der Übertragungsorte gar nicht ermitteln.

Das @rki_de-Diagramm zum "Infektionsumfeld" ist noch immer gefährlich missverständlich.
Ich habe das mal repariert: https://t.co/cCNwlmHb6S pic.twitter.com/iGHMgNpHDj

— Michael Kreil (@MichaelKreil) January 18, 2021

Der ÖPNV ist ein idealer “versteckter” Übertragungsort: Viele Zufallsbegegnungen mit ständig wechselnden, unbekannten Menschen. Es ist damit unmöglich, ein Kontakttagebuch zu führen und diese Kontakte dem Gesundheitsamt mitzuteilen.

Um die tatsächliche Gefahr einschätzen zu können, überlegten wir uns also, wie wir bessere Daten über Coronafälle im ÖPNV erfassen können.

Nach kurzer Überlegung, uns selbst in die Bahn zu stellen und die Leute zu fragen, ob sie Corona haben und dabei unsere Gesundheit zu gefährden, hatten wir eine sehr viel bessere Idee…

Heute sind wir ganz am Zeitgeist und schauen uns das Sprachi-Netzwerk Clubhouse an. Es gab bereits einige Kritik am Datenschutz (https://www.tagesschau.de/wirtschaft/clubhouse-audio-app-deutschland-datenschutz-social-media-101.html) und Exklusivität.

Google verschenkte letztens wieder Hardware. Das Bedürfnis, neue Hardware sofort aufzuschrauben, machte auch bei diesem Gerät keine Ausnahme und so dokumentierten wir den Prozess auf Twitter.

Und da das Gerät eh schon einmal offen war, wollte es auch noch mal in schön fotografiert werden. Durch Inspiration der großartigen Fotos von Evan Amos, der seine Aufnahmen in seinem Buch „The Game Console“ veröffentlichte, aber sie vor allem der Allgemeinheit unter CC0 schenkt, entstand die Idee, eine Explosionsgrafik zu erstellen.

Das ganze ist aufwendig, aber durchaus an einem Abend machbar. Nach dem Vorbild von Evan Amos haben wir die Grafik nun auch unter einer freien Lizenz auf Wikimedia Commons geladen. Die Auflösung der Grafik ist leider etwas niedriger als gewünscht, was einfach mit der Auflösung der zur Verfügung stehenden Kamera zu tun hat.

Wir möchten etwas ausprobieren: Wenn euch unsere Arbeit gefällt, dann überlegt doch, ob ihr uns nicht unterstützen wollt. Wir arbeiten gerade an einem größeren Projekt, was durchaus etwas kostenintensiver ist. Aber auch Hardware zum auseinandernehmen und Werkzeuge kann man uns zukommen lassen.

Hier noch ein paar weitere Fotos des Stadia Controllers.