Privacy - Wat niemand over je mag weten

Corona GAEN API open source

24-07-2020, 10:10 door Erik van Straten, 4 reacties
Laatst bijgewerkt: 24-07-2020, 10:11
Anoniem meldt in https://www.security.nl/posting/653782/Corona+app+%232+voor+GGD#posting665532 - waarvoor dank! - dat de Google + Apple Exposure Notification API (GAEN) als open source is gepubliceerd (Google spreekt overigens over "snippets").

Aangezien die draad al zeer lang is en feitelijk ging over alternatieven voor op Bluetooth/BLE gebaseerde apps, kopieer ik de bijdrage van Anoniem hieronder, in de hoop dat verdere discussie hierover hier plaatsvindt:
Door Anoniem: Belangrijke update: zowel Google als Apple hebben de broncode vrijgegeven van hun implementatie van de GAEN-API. Eindelijk is er meer transparantie en bied dit tevens een makkelijke manier voor alternatieve implementaties. Voor mij persoonlijk dus een grote hobbel overwonnen, nu hopen dat de overheid ook een alternatieve implementatie in de app stopt die niet afhankelijk is van Google Play Services en deze app buiten de Play Store om aanbied.

Erg goed nieuws dus, maar kritiek dat het slechts een kopie is van het beter uitgedachte DP-3T voorstel blijft bestaan. In die zin staat de macht van Apple en Google nog boven aan, maar desalniettemin een grote stap.

Google: https://github.com/google/exposure-notifications-internals
Apple: https://developer.apple.com/exposure-notification/
Reacties (4)
24-07-2020, 10:34 door Erik van Straten - Bijgewerkt: 24-07-2020, 11:03
De vraag blijft hoe Google en Apple omgaan met zeer privacygevoelige gegevens.

Prof. Doug Leith en Dr. Stephen Farrell van het Ierse Trinity College Dublin doen diepgravend onderzoek naar op Bluetooth gebaseerde tracing apps en hebben daar m.i. uitstekende publicaties over geschreven, onder meer over de (on-) nauwkeurigheid van dit soort apps in trein en tram.

Op 18 juli hebben zij een onderzoek gepubliceerd over de data die op GAEN gebaseerde apps met Apple en met name Google delen, getiteld "Contact Tracing App Privacy: What Data Is Shared By Europe's GAEN Contact Tracing Apps" (https://www.scss.tcd.ie/Doug.Leith/pubs/contact_tracing_app_traffic.pdf). Vooral via de Play Services wordt er veel data naar Google gestuurd:
Google Play Services still contacts Google servers roughly every 20 minutes, potentially allowing fine-grained location tracking via IP address. In addition, Google Play services also shares the phone IMEI, hardware serial number, SIM serial number, handset phone number, the WiFi MAC address and user email address with Google, together with fine-grained data on the apps running on the phone. This data collection is enabled simply by enabling Google Play Services, even when all other Google services and settings are disabled.
Zie ook https://www.irishexaminer.com/news/arid-40019492.html. Bizar overigens hoe weinig deze, m.i. redelijk schokkende, publicatie (de PDF bedoel ik) verder door de pers is opgepikt.

Alle publicaties van Prof. Leith en Dr. Farrell over tracing apps vind je in https://down.dsg.cs.tcd.ie/tact/.

In https://down.dsg.cs.tcd.ie/tact/tek-counts/ wordt voortdurend bijgewerkt hoeveel TEK's (Temporary Encryption Keys) er door positief geteste mensen zijn geüpload naar servers van Ierland, Italië, Duitsland, Zwitserland, Polen, Denemarken, Oostenrijk en Letland (omdat elke dag TEK's voor de afgelopen 14 dagen kunnen worden geüpload, nemen die aantallen aanvankelijk toe. Duitsland voegt nep-TEK's toe, en wat Oostenrijk doet is een raadsel. Onder "Cases" staat, ter vergelijking, het door de betreffende overheid gemelde aantal positief geteste personen).
24-07-2020, 14:42 door Anoniem
Ik ben wel benieuwd of deze vrij is van AdMob service, MoPub, AppLovin e.d.

Ik vermoed dat Google dit alles doet mede ten dienste van de core-business en niet daarop een uitzondering gaat maken.

De waakhonden hebben nog nooit doorgebeten in dit opzicht en dat zullen ze hierbij ook zeker niet doen.

Dus nogmaals de vraag hoe vrij is deze APP van tracking? De adtracking van Google is namelijk even "creepy" als die van Facebook. Dat belooft in elk geval niet veel goeds.

Waar tracking is, is onbedoelde surveillance dichtbij en ik dacht dat bij Corona juist het waarborgen van de privacy zo belangrijk is.

luntrus
24-07-2020, 15:10 door Anoniem
Door Anoniem: Ik vermoed dat Google dit alles doet mede ten dienste van de core-business en niet daarop een uitzondering gaat maken.

De waakhonden hebben nog nooit doorgebeten in dit opzicht en dat zullen ze hierbij ook zeker niet doen.
Ik citeer je wat selectief omdat je hier volgens mij antwoord geeft op je eigen vraag.

Feit is dat Google en Apple een duopoly hebben op de (smart)phone markt. Vele politici hebben het in het hoofd gehaald dat een digitale vorm van contact tracing kan helpen tegen de verspreiding van het nieuwe coronavirus. Tegelijk besefte men ook, na verhalen over de app uit Singapore, dat je eigenlijk niet om deze twee techreuzen heen kan. Dat kan namelijk uitlopen op de volgende situatie.

Stel dat Apple/Google geen eigen API zouden ontwikkelen. Dat zouden er andere voorstellen gedaan worden (zoals DP-3T) met als kanttekening dat deze niet optimaal zouden gaan werken. Daarmee komt er veel kritiek op Apple/Google omdat zij dit soort apps/ontwikkelingen tegenhouden. Gevolg is dat eerder genoemde politici met nieuwe wetgeving gaan komen om de macht van Apple/Google te beperken of verplichten dergelijke apps te laten werken op telefoons. Kortom: de macht van deze techreuzen aan banden leggen. Apple/Google realiseren zich dit ook en beseffen dat zij op dat moment de controle zouden verliezen over hun eigen platform.

De logische uitweg uit een situatie van verplichte wetgeving is dus zelf het initiatief nemen. Dat hoeft uiteraard niet zo privacy vriendelijk als je zou willen, zolang de meerderheid het maar slikt. Immers als de meerderheid van de politic/overheden het slikt zal er uiteindelijk geen nieuwe wetgeving komen.

De vraag of er extra tracking in zit lijkt mij daarmee duidelijk: de meerderheid zal het niet accepteren en daarmee ligt het niet voor de hand dat ze dit zullen doen. In dezelfde lijn lijken deze codedumps dus vooral het gevolg van druk vanuit verschillende overheden (desalniettemin is het belangrijk voor de transparantie, maar dat is niet de hoofdzaak hier). Die minimale acceptatie alles waar het om draait, immers dan niemand voorstellen om een en ander via wetgeving af te dwingen. Het draait Apple of Google dus niet om privacy, goede bedoelingen of extra advertentie inkomsten. Het draait om het voorkomen van extra wetgeving die hun macht aan banden legt.

Zo, en dan zet ik nu mijn alu hoedje weer af.
24-07-2020, 16:50 door Anoniem
Geachte anoniem van 15:10
"
Ik vind het niet zo'n "aluhoedje op en weer af verhaal" eigenlijk, wat je hier in je antwoord ten beste geeft.
Ik vind het eigenlijk wel een zeer plausibele en wellicht ook wel goede aanname van de gang van zaken.
Ben wel blij met je analyse en daarbij hoop ik dat men die ook steunt. Ik tenminste wel.

Alhoewel heel wat eindgebruikers zijn er, die of het niet interesseert of boven de pet zal gaan.
Conclusie van je betoog is we kunnen feitelijk niet om deze Big Tech Monopolisten heen
maar ..... dat geldt tot op zekere hoogte ook voor hen.
Ze moeten zich af en toe nog een beetje flink inhouden.

Ik heb de blokada app op mijn telefoon geinstalleerd (dat kon helaas niet via Google Play
maar via een omweggetje wel), maar het is frappant om te zien hoeveel dat aan tracking scheelt,
als je je host logs bekijken wil, De app draait onder lokaal adres 203.0.113.1
met als DNS server adressen 203.0.113.2 & 203.113.3.

Dank en groetjes,

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.