Moin zusammen,

die Corona App soll ja demnächst vorgestellt werden.
Aus diesem Anlass möchte ich hier gerne mal erfragen, wie Ihr dazu steht, ob Ihr die app nutzen würdet, Bedenken habt etc.
Oder ob Ihr überhaupt ein passends Gerät habt. In einem anderen Thread kam ja auch zur Sprache, dass hier zumindest ein Teil recht Privacy-Affin ist.

Prinzipiell finde ich das gut. Wenn eine Möglichkeit geschaffen wird, überlastete Gesundheitsämter zu verhindern, Infektionen zu verfolgen und schnellstmöglich weitere Infizirte aus einem Cluster heraus zu verhindern, ist das gesamtgesellschaftlich wünschenswert.
Das kann aber nicht ohne Rücksicht auf Nebenwirkungen und Verluste erzwungen werden.
Der CCC hat 10 Pürfsteine für eine sinnvolle Umsetzung veröffentlicht, die ich so unterschreibe.


Ein paar Kritikpunkte habe ich aber bereits an der aktuellen Umsetzung.
Auch wenn die Nachricht, dass über 60k Entwickler die App überprüft haben, definitiv falsch ist, kann man auch hinterfragen wie viel denn eigentlich davon Open Source ist.
Die Corona App mag Open Source sein, das ist aber nur ein kleiner Teil der Funktionalistät. Die API von Google ist soweit ich informiert bin, nicht quelloffen. Hier liegt jedoch ein großer Teil der eigentlichen Funktion. Das finde ich problematisch.
Dass ich für eine funktionierende Warnapp also zwingend (bei der aktuellen Implementierung über die Google Pay Services) Google Dienste installiert haben muss und den Standort aktivieren muss, ist für mich ein Datenschutzproblem.
Dass der Quellcode veröffentlicht wurde ist gut und richtig. Soweit ich weiß handelt es sich hier aber auch nicht um freie Software bie z.B. in den F-Droid store kommen könnte. Letzteres ist schon nicht möglich, da Google und Apple die App autorisieren müssen, damit diese mit der API funktioniert, was nur für die staatliche Version gemacht wird.

Open Source ist das eine. Das ist aber nur etwas wert, wenn ich auch nachprüfen kann, dass der Quellcode mit den Binärdateien in der APK übereinstimmt. Ansonsten bringt mir das garnichts. Wird sicher nicht jeder machen aber die Möglichkeit sollte es geben. (F-Droid kompiliert den Code im Übrigen selber und nutzt nicht direkt ein Kompilat des Entwicklers).
Nicht, dass ich das vorhätte, aber selber kompilieren wird aus dem oben genannten Grund ja nicht funktionieren. Überprüfen, ob die App wirklich mit dem Quellcode übereinstimmt, der veröffentlicht wurde, müsste aber mindestens möglich sein. (Nicht für den Durchschnittsnutzer aber für Experten und Interessierte).

Fazit: Für mich ist das keine freie und quelloffene Software, sofern ich (oder jemand mit mehr Skills) nicht nachprüfen kann, dass der veröffentlichte Code mit dem der am Ende lauffähigen App übereinstimmt und weder ich noch jemand, dem ich vertraue das kompiliert sondern ich direkt eine (zumindest bis ich gegenteiliges erfahre) Blackbox erhalte.
Dass ich Google und Konsorten ablehne und deren Einfluss auf meinen Endgeräten versuche vollständig einzudämmen dürfte dem Text ja auch entnehmbar sein.
Ich muss aber für die App Google Dienste nutzen und Ortungsfunktionen zulassen, die ich eigentlich bewusst vermeide. Über die Funktionalität bestimmt dann auch ein großer Tech-Konzern. Ich bin vielleicht ein Smartphone-Sonderfall, aber ich habe keinen Google-Playstore (trotz Android 10) und möchte auch keinen.
Google soll in meiner Technikwelt ebenso wie die anderen Hersteller von Malware und freiheitsberaubender Spionagelsoft/hardware keine größere Rolle spielen als unbedingt nötig.

Auf meine Handy kann die App also nicht laufen, da ich hierfür nicht Google Dienste installieren werde.

Sicherheitsprobleme mit Bluetooth und die Tatsache, dass Smartphones ohnehin inhärent unsichere Endgeräte sind, über die zumeinst der Nutzer überhaupt keine Kontrolle hat, lasse ich mal völlig außen vor ebenso das Problem, dass in bisher keinem Land eine ausreichende Nutzerzahl erreicht wurde.
Wer sein Smartphone (oder überhaupt Handy) für Vertrauenswürdig hält, den wird die zugrunde liegende Frage vermutlich wenig beschäftigen.

Ich würde die App also unter einigen Bedingungen installieren, da diese nicht gegeben oder in Aussicht sind, wird das mit mir und der Corona-App nichts, auch, wenn ich das Konzept eigentlich gut finde.

Genau. Bei Google fällt keiner durchs Raster, weil das Geschäftsmodell darin besteht, von möglicht vielen Menschen Persönlichkeitsprofile anzulegen und mehr über die Person zu erfahren, als diese auch nur Ihrer engsten Familie verraten würde. Wie viele Datensätze Google hat steht auch nicht zwingend im Zusammenhang damit, ob die Daten gezielt ausgewertet werden können.

Online-Tracking z.B. ist enorm komplex und immer so gestaltet, dass es ein User, der den Standardbrowser einfach mal so nutzt, nicht bemerkt und denkt er " fällt durchs Raster" und "die wissen vermutlich soweiso alles". Das wirkliche Ausmaß ist den wenigsten bewusst.

Eine Corona App KANN derartig gestaltet werden, dass dies (die Erstellung von Persönlichkeitsprofilen allen vorran, aber auch die Kontaktverfolgung durch Dritte) nicht möglich ist und hoffentlich besteht in der ganzen Aktion auch ein anderes Ziel. Sofern die Vertrauenskette vom Quellcode, der von unabhängigen, vertrauenswürdigen Instanzen (CCC, Netzaktivisten, Experten) begutachtet wurde bis hin zu der App auf meinem Smartphone nachprüfbar existiert, sehe ich da zwar Probleme (Bluetooth an sich z.B.) aber die geringere Gefahr verglichen mit anderen Akteuren, die bewusst schädlich im digitalen Umfeld handeln.

Kleines Beispiel, weshalb mein Emailserver Google-Adressen automatisch antwortet, dass ich die Mail zwar lese aber möglicherweise nicht antworten werde:
zeit.de/digital/2019-08/datens…e-mails-sicherheit-google

Bei einer Corona-App können Daten gezielt nicht erhoben, anonymisiert oder pseudonymisiert werden, sofern das gewollt ist. Google etc. wollen das aber nicht, denn das wäre geschäftsschädigend.
Warum ich jetzt für die Nutzung eines pseudonymisierten möglicherweise sinnvollen Dienstes weitere Dienste einer kommerziellen Datenkrake nutzen muss, leuchtet mir aber nicht ein.

Sein Smartphone abzuschaffen ist sicherlich genauso radikal wie wirksam. Ich würde da, wenn es etwas weiter entwickelt ist und ich die Notwendigkeit verspüre zum PinePhone von Pine64 greifen (denn ein Purism-Handy kann ich mir nicht leisten).
Im Moment nutze ich ein Handy mit Lineage OS, das auf dem Android Open Source Project basiert, keine Google Dienste, das meiste aus dem F-Droid Store, als "VPN-Werbeblocker" Blokada und ein Nicht-Google-DNS ist auch konfiguriert.
Wenn es mir eine Anwendung wert ist, installiere ich die über einen alternativen Playstore, dann muss ich mit enthaltenen Trackern leider leben.
Wer sich für sowas interessiert, dem kann ich die Artikel-Serie von Kuketz ans Herz legen: "Take Back Controll". Bei Fragen stehe ich auch gerne im Rahmen von dem was ich kann zur Verfügung.

Konsequenter Weise müsste man aber auch seinen kompletten PC mit wegwerfen: Stichwort Binärblobs in Bios, Treibern oder so tolle Erfindungen wie Intel ME. Wer Windows oder Office 365 nutzt (u.A. Stichwort Device-based Tracking, Cortana, die automatisch generierten Recovery Keys der Festplattenverschlüsselung bei Bitlocker) sollte sich auch mal Gedanken machen, auch, wenn das für Arbeit und Studium mitunter unumgänglich ist.
Wenn man sich dann noch mit Dingen beschäftigt wie den diversen Möglichkeiten des Online-Trackings, der Sicherheit von Emails und sich darüber freuen darf, dass kaum jemand weiß was PGP ist, dann tendiert man schon eher zur Nutzung von Qubes/Whonix/Tor/ auf dem PC.
Und ich finde auch derartige Gedanken spielen beim Thema Prepping ne Rolle, denn das sichert einem auch bei China-Zuständen unter Umständen ein gewisses Maß an Informations- und Meinungsfreiheit.

Wen das interessiert, dem empfehle ich folgende Seite: privacy-handbuch.de/index.htm
Wirklich sehr lesenswert.
Wer Linux hat, kann auch zum regelmäßigen Updaten der User.js in diversen Firefox und Thunderbird-Profilen ein Script nutzen. Ich habe das modifiziert, sodass jetzt über einen CLI-Befehl das Script mittels eines Alias für alle Profile nacheinander ausgeführt wird.
Sollte da Interesse bestehen, kann ich gerne auch mal separat zu dem Thema was in einem neuen Thread schreiben, vielleicht, da es vieles ja schon von weitaus fähigerer Seite gibt eher unter dem Motto "Wenn Du Dir heute 10-60 Minuten Zeit nimmst, dann kannst Du das lernen/ändern/konfigurieren, damit deine Privatsphäre etwas geschützer wird".
Ansonsten wenn Fragen bestehen, helfe ich, sofern ich das kann, gerne, mit dem Thema Privacy beschäftige ich mich seit einigen Jahren.

Eine direkte Antwort auf Deine Vermutung: Ja, soweit ich das mitbekommen habe, möchte Google die Corona-API auch irgendwann direkt ins Betriebssystem einbetten. Ob und wie steht wohl noch nicht so ganz fest.
Wenn es ins AOSP kommt, ist es wie der Name sagt Open Source, dann könnte es auch in auf dem AOSP basierenden Custom Roms landen. Ansonsten landet es dort nicht. Ob es jemald in Lineage landet halte ich für fraglich.
Der Weg über Google Play wurde soweit ich weiß präferiert, da dies am einfachsten die größte Anzahl an Geräten erreicht. Welches Handy bekommt auch nur noch aktuelle Sicherheitspatches (neue Android-Versionen mal völlig außen vor) nach wenigen Jahren? Eben.
Wenn man aber überlegt, dass Du für die Corona-App definitiv Google Play-Dienste brauchst, sehe ich Deine Sorge nicht so wirklich. Mit Wlan-Triangulation (mittlerweile sehr genau) kennt Google Deinen Standort sowieso. Je nachdem wie viel Du in Deinen etwas versteckten Privatsphäre-Einstellungen von Google herumgespielt hast, hast Du Google sogar erlaubt, Deinen Standortverlauf zu speichern und zu nutzen. Was Google hat, hat über Umwege sicherlich auch eine Behörde. Die Corona App war nie Dein Problem um es deutlich zu machen.

Tracking wäre auch z.B. für Dritte Möglich, wenn Du Dein Wlan angeschaltet lässt und man einfach Deine Probe Requests mit Deiner MAC mitschneidet. Das kann sogar ich.
Herauszufinden wer Du bist und wo Du Dich gerne aufhälst, ist vermutlich etwas schwieriger aber nicht unmöglich. Erster Link den ich als Erklärung gefunden habe.
Das Problem ist dabei einfach, dass der WLAN-Standard das so vorsieht und Missbrauch zulässt. Machen kannst Du da nichts. Genauso kann ich Dein Device auch von Deinem Router trennen (wobei man das mehr oder weniger effektiv verhindern kann).
Hab ich bei meinen Geräten schon erfolgreich ausprobiert, wen es interessiert: Stichwort: Wifi-Deauthentification-Attack. Ziemlich trivialer Angriff.
Also: Die Corona-App ist IMO Dein geringstes Problem. Wenn Du auf Dein Smartphone verzichten kannst, will ich Dich davon nicht abbringen. Aber dann würde ich mich definitiv mit Tracking im Internet beschäftigen und meinen Mailaccount sicher konfigurieren (keinen von Google, GMX oder web.de).

Wen mal schauen möchte, ob der eigene Browser trackbar ist: https://panopticlick.eff.org/

Ich will hier nicht klug***, also nimm es mir bitte nicht übel. Apple und Google können genau das. In diesem Falle tun sie es aber wirklich nicht sondern bei Google wird über die Play-Services eine API hinzugefügt. Aber Google kann theoretisch Apps installieren oder deinstallieren.
Weiterhin hat Google ebenso wie der Hersteller auf einem neu gekauften Gerät schon diverse Malware installiert, die auch geändert werden kann, die Du aber ohne weiteres nicht löschen kannst.

Ob Du die Corona-API haben willst, hat Dich ja auch keiner gefragt....

Nicht jede App kann aber darauf zugreifen. Google gibt diese API für authorisierte Apps frei. Soweit ich weiß auch nur für eine per Land, welche zumeist von der Regierung kommen wird. Mag in diesem Zusammenhang richtig sein (auch, wenn das Android-Rechte System sowieso für den Po ist), aber ich finde die Vorstellung, dass ein Konzern bestimmt, was ich mit meinem Handy machen darf und welche App auf welche Funktionen zugreift, welche Apps nicht auf meinem Handy laufen dürfen etc. mehr als unheimlich. Bei Apple ist es noch schlimmer IMO, aber da kenne ich mich nicht so detailliert aus.