Uns haben in letzter Zeit einige Anfragen zur Sicherheit der Luca App erreicht. Hier ein paar Punkte, warum wir uns die App nicht genauer anschauen (können und wollen) 🧵
Solange eine App nicht Open Source ist, können wir immer nur einen groben Blick darauf werfen. 🧑💻 Manchmal fallen bei solch einem groben Blick schon Dinge auseinander.
Wir könnten in solch einem Fall sagen, dass es ein Problem gibt. Umgekehrt heißt es aber nicht, dass das System sicher ist, wenn wir nichts finden.
Viel schlimmer: Wenn wir etwas finden, was später behoben wird, könnte der Eindruck entstehen, die App sei jetzt sicher. Und wenn wir jetzt nichts finden, könnte mit dem nächsten Update was kommen.
Um die Sicherheit einer App wirklich beurteilen zu können, muss der komplette Sourcecode (App sowie auch alle Serverkomponenten) Open Source und die Architektur dokumentiert sein.
Und selbst dann sind wir vielleicht nicht die besten Ansprechpartner, weil wir eigentlich nur ein paar Leute aus dem Internet sind, die manchmal gegen Apps treten.
Wir hatten auch darüber nachgedacht, selbst Doku für die Architektur von Luca zu erstellen. Aber das sollte einfach nicht die Aufgabe von ein paar Nerds mit etwas Freizeit sein.
Eigentlich dachten wir, dass Open Source seit der Corona-Warn-App verstanden wurde, und wir darüber einfach nicht mehr diskutieren müssen. 🤷
Warum jetzt die closed source App eines dahergelaufenen Startups promoted wird ist unverständlich. Warum sich bereitwillig einem Vendor-Lock-In hingegeben wird umso mehr. 🔒
Side Note: Luca schafft scheinbar seit drei Monaten nicht, jemanden einzustellen um eingehende Fragen und Pull Requests zu beantworten.
Ausserdem glaube wir nicht, dass noch eine App die Corona-Pandemie beenden wird. Eine App lenkt nur von der Relevanz richtiger Maßnahmen ab. Die Länder, die die Pandemie quasi beendet haben, haben keine Apps.
Es fehlt nicht an Apps, sondern an Ressourcen im Gesundheitswesen. Den Gesungheitsämter einfach noch mehr Daten zu schicken und noch eine zusätzliche Software einzuführen bringt nichts, wenn so schon keine Kontaktverfolgung mehr möglich ist.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Was als erstes Auffällt: es enthält wirklich gar keine Informationen sondern nur den Link und klingt genau wie die schlechten NINA Warnmeldungen. Kommunikation können die!
Heute sind wir ganz am Zeitgeist und schauen uns das Sprachi-Netzwerk Clubhouse an. Es gab bereits einige Kritik am Datenschutz (tagesschau.de/wirtschaft/clu…) und Exklusivität.
Der Großteil des Kontakt zum Server wird über eine REST-Api abgewickelt. Hier ist Clubhouse wiederspänstiger als viele andere Apps und implementiert Certificate Pinning. Dann holen wir mal das gejailbreakte Telefon heraus.
Sobald man einen Raum startet verbindet sich die Clubhouse-App mit zwei weiteren Diensten: Pubnub und Agora. Pubnub wird für die Echtzeitkommunkation genutzt, Agora für den Audiochat.