![Wink :wink:](./images/smilies/icon_wink.gif)
Blijkbaar zal dit met Android 11 niet meer nodig zijn om de lokalisatie aan te zetten. 't Ja wat bij toestellen die niet hoger kunnen updaten ?
Vraag mij nu ook af wat voor nut dat heeft bij die app
![Rolling Eyes :roll:](./images/smilies/icon_rolleyes.gif)
Het verschil is toch eerder klein hoor met mobiele data aan of uit voor batterijlevensduur.antutu schreef:Bluetooth staat altijd aan voor headphones, maar internet zet ik altijd af als ik het niet gebruik om de batterij te sparen.
Het is moeilijk recente cijfers te vinden over het aantal GSM gebruikers laat staan smartphone gebruikers (met internet).Vaganzza schreef:In HLN staat vandaag dat de app op die kleine week 657.000 keer gedownload is. Eerlijk gezegd heb ik geen idee of dat nu veel is of niet. We zijn alleszins nog een eind verspreid van de beoogde 60% die vaak als standaard gesteld wordt.
Alhoewel de app nog steeds crasht kan ik die checks wel zien. Op Android naar instellingen gaan > sectie Google > blootstellingschecks.Tomby schreef:Blijkbaar zitten er toch een soort tellerke in. Sinds vandaag krijg ik ineens notificaties en als ik daarop doorklik, krijg ik te zien dat er 44 checks (of hoe het ook heette) waren. Vreemd genoeg kan ik dat niet terugvinden via de app zelf, en de notificaties zijn ondertussen natuurlijk al weggeklikt.
Vraag me wel af hoe die aan 44 komt, want dat is best veel, want ik heb nauwelijks volk gezien de voorbije 7 dagen, en zeker geen 44 mensen waar ik 15' of langer bij geweest ben.
Het tegenwerken van alle maatrelen die kunnen helpen (hoe vreemd ze soms ook klinken) zorgt er net voor dat het nog véél langer zal duren / zwaarder worden.ub4b schreef:Ik doe niet mee met dit soort apps
Ok dat klinkt logisch. Vanmorgen ook weer 10 lijsten gekregen, met in totaal 773 sleutels. Dat zijn dus 773 mensen die de app gebruiken en positief getest zijn? Hoe lang blijft een positieve test/sleutel in die lijst?JelleLampaert schreef:De blootstellingschecks zijn niet de mensen met wie jij contact hebt gehad, maar de keys van alle mensen die een positieve test gehad hebben (zie https://www.coronawarn.app/en/faq/#keys_matches).
Je gsm controleert dan zijn eigen lijst met Bluetooth-sleutels met deze lijst om je blootstellingsrisico te bepalen. Je krijgt pas een melding als een van de sleutels op beide lijsten voorkomt. Ik weet niet of je de lijst met Bluetoothsleutels die je toestel "gezien" heeft kan inkijken...
Elke dag zouden alle sleutellijsten van de voorbije veertien dagen gedownload. Vannacht zijn er op de toestellen hier thuis 10 lijsten binnen gekomen, telkens met evenveel sleutels en dezelfde hashes in. Die lijsten zouden dus overal hetzelfde moeten zijn.
In principe zou dat 14 dagen moeten zijn.NickG schreef:Hoe lang blijft een positieve test/sleutel in die lijst?
Alsook proof of concepts voor de-anonymizing en tracking tools:Mag ik je mening vragen over enkele hypothetische situaties?
1 t/m 3 gaan over het extern opvangen van signalen, 4 & 5 gaat over het via een secundaire app meekijken, en 6 & 7 gaan over het analyseren van IP verkeer.
Hypothetical 1:
- Ik plaats enkele kleine cameras bij de in-en-uitgang van enkele supermarkten in Amsterdam (via de bestaande bewakingscameras, of een derde partij plaatst zelf kleine apparaatjes).
- Ik scan via bluetooth welke Exposure Notification codes langskomen. Als ik een nieuwe code zie, maak ik een foto.
- De code verdwijnt weer (de persoon is diep in de supermarkt).
- De code verschijnt weer (binnen 10 tot 20 minuten). Ik maak nog een foto. Deze data bewaar ik op een SD kaartje of upload ik meteen dankzij de gratis wifi van de supermarkt.
- Via gezichtsherkenning kijk ik welke persoon weer op de foto staat, en ga ik ervanuit dat code 234645634525 hoort bij persoon X.
- Optioneel gebruik ik signaalsterkte om in te schatten of de persoon naar de camera toeloopt of er vandaan gaat.
- De volgende dag blijkt dat code 234645634525 op dat moment covid had.
- Ik heb nu een groeiende lijst van fotos van mensen met covid.
- Die lijst voer ik (in de toekomst) aan een Clearview AI achtige dienst.
Hypothetical 2:
- Ik ben uitbater van een grote hoeveelheid apparaten in de publieke ruimte die o.a. aan bluetooth scanning doen (bushokjes, etc).
- Ik hou alle opgevangen codes bij (is dit verboden?).
- Wanneer ik een nieuwe code spot kijk ik ook of ik een nieuw bluetooth apparaat in de omgeving zie. Bijvoorbeeld een draadloze koptelefoon. Ik noteer daarvan het mac adres. Veel bluetooth koptelefoons (met name de goedkopere) gebruiken geen mac-adres randomisation.
- Elke keer dat ik ergens dat apparaat spot weet ik: deze persoon heeft Covid (gehad).
Hypothetical 3:
- Ik doe hetzelfde in een cafe, bibliotheek of andere plek waar mensen op de wifi inloggen.
- Wanneer ik een nieuwe code spot kijk ik ook of ik een nieuw apparaat op de wifi zie.
- Omdat veel fabrikanten de mac-adressen van hun apparaten niet updaten heb ik nu het mac adres van iemand met Covid.
Hypothetical 4:
- Ik maak een gratis game voor Android/iPhones.
- Deze app vraagt om bluetooth permissies (want dan kun je een game controller aansluiten).
- Deze app verzamelt allerlei data over de eigenaar van de telefoon via de telefoon API, en je moet ook inloggen met Facebook/etc om de game te kunnen spelen.
- De app houdt ook bij welke Exposure Notification codes het apparaaat uitzendt (kan dat?)
- Alle data verstuur ik naar mijn server, en controleer ik later tegen de lijst van codes van mensen met covid.
- Nu heb ik gedetailleerde profielen van mensen met covid?
Hypothetical 5:
- Hetzelfde als nummer 4, maar nu ben ik Google en maak ik zelf de match tussen uitgezonden EN-codes en mensen met covid, al dan niet on-device.
- Als iemand covid lijkt te hebben, dan markeer ik ze als "heeft interesse in covid zorg" in hun profiel.
- Als databroker kijk ik mee in de bidding requests voor online advertenties, en ontdek ik zo welke personen in Nederland Covid hebben.
- Een paar jaar later zijn de medische gevolgen van het krijgen van Covid in beeld (meer kans op herseninfarcten op latere leeftijd, ik noem maar wat).
- Als databroker verkoop ik profielen van Nederlanders aan verzekeraars waarbij ik het vermoeden dat mensen covid hebben gehad niet expliciet maak maar wel mee laat wegen in een iets breder geformuleerde risico score.
Hypothetical 6:
- Er is een centrale server die verwerkt welke EN-codes covid hebben, en die deze via de API ook weer naar alle telefoons verspreid.
- Aan de IP adressen van telefoons die verbinding maken kan ik (ergens in de keten / MITM) zien welke Nederlanders braaf de app gebruiken.
- Ik weet nu welke IP adressen 'goeie burgers' zijn.
- Aan het soort verbinding dat ze met de API maken kan ik zien of ze enkel de updates komen ophalen, of een ziekte aanmelden.
- Ik weet nu welke IP adressen covid hebben. Er worden dummy-uploads gedaan om dit te maskeren lees ik.
// update: al lees ik hier dat die dummy uploads eruit te filteren zijn, en uberhaupt alleen worden toegevoegd als er weinig uploads zijn?
Hypothetical 7:
- Vergelijkbaar met 6, maar nu ben ik een router/MITM in het netwerk of een DNS server die bijhoudt welke apparaten contact leggen met de centrale server.
- Deze 'pols' zijn regelmatig zolang de updates opgehaald worden (is dat zo? wanneer wordt er verbinding gelegd om updates op te halen?)
- Ik spot dat een apparaat onregelmatig verbinding maakt, en dus waarschijnlijk een covid ziekte rapporteert.
- Nu weet ik dat iemand in mijn apartementencomplex/hotel/etc covid heeft.
Bij al deze hypotheticals is er ook nog de optie:
- De dataset lekt uit
Alle gekheid op een stokje: mijn punt is dat ik me afvraag in hoeverre de focus op security nu heel erg binnen de specifieke context van de app zelf is gebleven. In hoeverre is erook gekeken naar dit soort eindeloze interacties met andere systemen die in de echte wereld ook kunnen plaatsvinden?
Natuurlijk is het geen garantie want de besmette persoon moet eveneens de app hebben en de code invoeren.1207 schreef:de app geeft geen garantie dat je verwittigd wordt als je met een besmet iemand in contact bent gekomen
Dan hebben ze beide toch niet de app, of heeft de man z'n code niet ingegeven in de app.1207 schreef:man is besmet en vrouw niet, vrouw haar app blijft vrolijk groen
In het artikel staat dat de man de app pas installeerde nadat zijn vrouw positief getest had. Ze hebben de app dus niet gelijktijdig geinstalleerd en er is geen uitwisseling van bluetooth-codes geweest.DarkV schreef:Dan hebben ze beide toch niet de app, of heeft de man z'n code niet ingegeven in de app.
het artikel is betalend, kopiëren mag neit.DarkV schreef: Natuurlijk is het geen garantie want de besmette persoon moet eveneens de app hebben en de code invoeren.
Blijkbaar spreekt het niet voor zich zoals Stroper aangeeft.1207 schreef:het spreekt voor zich dat beide huwelijkspartners de app hebben, zij is besmet en heeft het ingegeven en de man zijn app blijft netjes groen (heeft ook alle stappen gevolgd
“Nogal bizar”, noemt Griet de situatie waarin zij en haar man zitten. Zij testte onlangs positief op het coronavirus. Via de corona-app op haar smartphone werden al haar contacten verwittigd. “Maar mijn man, die wel pas na mijn positieve test de app installeerde, krijgt voortdurend een groen schermpje.