#LucaApp hatte nach viel Kritik und gutem Zureden angekündigt, ihre App zu OpenSourcen. Nun tauchte das erste Repository auf – mit der schlimmsten Lizenz, die wir seit Langem gelesen haben. Nur Betrachtung, keine Veränderung, keine Mirrors, etc. 🧵 gitlab.com/lucaapp/androi…
Damit kann eigentlich niemand einen Audit machen, der eine Spendenseite hat, denn das könnten kommerzielle Zwecke sein. Da die nicht-private Nutzung ausgeschlosen ist, ist auch unklar, ob unabhängige Organisationen so etwas machen können.
Wenn jemand einen Audit macht und etwas findet, dürfte man keine Code-Schnipsel zeigen.
Als Nicht-Juristen ist uns auch völlig unklar, ob geteilte Screenshots nicht schon eine Quellcode-Kopie »auf ein öffentliches oder verteiltes Netzwerk« sind. 🙈
culture4life behält sich außerdem das Recht vor, diese "Lizenz" »jederzeit und ohne Vorankündigung widerrufen« zu können – das finden wir schon ganz schön dreist. Entweder #LucaApp stellt sich der öffentlichen Kontrolle und dann bleibt der Code auch "offen". Oder eben nicht.
Außerdem ist es untersagt, »den Quellcode [zu] übersetzen«. Unklar ob hier kompilieren oder in andere Sprachen übersetzen gemeint ist. Egal, beides Quatsch!
Ziel erfüllt: Diese handgestrickte Lizenz schreckt Menschen ab, den Code der #LucaApp öffentlich zu beurteilen oder gar zu verbessern.
Wir würden wirklich gern wissen, ob das überhaupt vor Jurist*innen stand hält.
Das war bisher nur das Android-Repo und das war schon so ein Auffahrunfall. Dabei haben wir uns noch nicht einmal den Code angeschaut 🙃
Nach dieser Lizenz haben wir auch eigentlich keine Lust mehr.
Aus den Drukos: Sie haben Open-Source-Code (BSD-Lizenz) einfach übernommen. Außer dem Entfernen von Lizenzhinweisen/Kommentaren und Whitespaceänderungen wurde nichts geändert. Damit wurde vmtl. gegen dessen Lizenz verstossen.
Update: Inzwischen hat #LucaApp die Lizenz auf eine GPLv3 geändert und die fehlenden Lizenzhinweise bei manchen der Files ergänzt.
Bei aller Kritik an Luca und dem Umgang der Macher*innen sind ein paar Grundregeln unumstößlich. Beleidigungen und Beschimpfungen gehen zum Beispiel gar nicht.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Gleich am 8.3. waren Menschen vom Berliner Zerforschungsteam beim neuen kostenlosen Schnelltest vom Senat. Dafür muss man sich in einer WebApp mit Namen, Adresse, Telefonnummer und E-Mail-Adresse registrieren. Dann eskalierte alles - ein Thread 🧵
Die Seite kam uns schon bei der Registrierung komisch vor, aber das Testergebnis war pünktlich 15 Minuten nach dem Test da. Es lässt sich sogar ein hübsches PDF mit Testergebnis & persönlichen Daten runterladen. Doch kaum zuhause siegte die Neugier: Wir schauen etwas genauer rein
Interessiert wie immer schauen wir natürlich zuerst in den Datenverkehr. Abgerufen wird das PDF über eine API, die mit der Test-ID aufgerufen wird. Als Ergebnis erhalten wir ein JSON, welches eine Data-URI mit dem PDF enthält 🧐
Uns haben in letzter Zeit einige Anfragen zur Sicherheit der Luca App erreicht. Hier ein paar Punkte, warum wir uns die App nicht genauer anschauen (können und wollen) 🧵
Solange eine App nicht Open Source ist, können wir immer nur einen groben Blick darauf werfen. 🧑💻 Manchmal fallen bei solch einem groben Blick schon Dinge auseinander.
Wir könnten in solch einem Fall sagen, dass es ein Problem gibt. Umgekehrt heißt es aber nicht, dass das System sicher ist, wenn wir nichts finden.
Was als erstes Auffällt: es enthält wirklich gar keine Informationen sondern nur den Link und klingt genau wie die schlechten NINA Warnmeldungen. Kommunikation können die!
Heute sind wir ganz am Zeitgeist und schauen uns das Sprachi-Netzwerk Clubhouse an. Es gab bereits einige Kritik am Datenschutz (tagesschau.de/wirtschaft/clu…) und Exklusivität.
Der Großteil des Kontakt zum Server wird über eine REST-Api abgewickelt. Hier ist Clubhouse wiederspänstiger als viele andere Apps und implementiert Certificate Pinning. Dann holen wir mal das gejailbreakte Telefon heraus.
Sobald man einen Raum startet verbindet sich die Clubhouse-App mit zwei weiteren Diensten: Pubnub und Agora. Pubnub wird für die Echtzeitkommunkation genutzt, Agora für den Audiochat.