Der UNIQA-Trojaner und seine Freunde

**********************************************************
akin-Pressedienst.
Aussendungszeitpunkt: Mittwoch, 15. April 2020; 22:49
**********************************************************

> Der UNIQA-Trojaner und seine Freunde

Open Source geht anders. Vertrauen schaffen auch. (13.4.2020)

Als "Rotkreuz-App" wurde sie vermarktet, ein Label, dem die meisten Menschen
vertrauen. Dann wurde klar, daß die Entwicklung vom Versicherungskonzern
UNIQA finanziert wird -- also jenem Konzern, mit dem unser Herr
Bundeskanzler aufs Engste verbandelt ist. Die Entwicklung hingegen liegt bei
der österreichischen Niederlassung des Firmenberatungskonzerns Accenture,
der weltweit fast eine halbe Million Mitarbeiter hat und für den
Softwareenwicklung nur ein Nebengeschäft ist. Mit an Bord bei der App ist
natürlich ein Google-Lokalisierungsdienst und die Server sollen von
Microsoft Azure sein. Ja, das sind Namen, deren Träger man schon weniger
vertraut als dem Roten Kreuz.

Auch in Österreich war ganz offensichtlich geplant, diese App verpflichtend
zu machen -- sonst hätte ja nicht der UNIQA-Kanzler von einem
Schlüsselanhänger für Diejenigen ohne Smartphone phantasieren müssen. Eine
Fußfessel für alle ließ sich dann aber doch nicht durchsetzen.

Trotzdem verteidigten die Grünen in Person von Sigi Maurer massiv diese App.
Diese sei total sicher und außerdem bald "Open Source". Jedem, der sich mit
Internetsicherheit näher beschäftigt, müssen da die Grausbirnen aufsteigen.
Vor drei Jahrzehnten schon wurde im Zuge der Schaffung der freien Lizenz
GNU-GPL definiert, was Open Source zu sein hat, auch um Sicherheit zu
gewährleisten. Das heißt: Der menschenlesbare Quellcode mit allem Drum und
Dran -- also auch der Libraries und jeder bezugnehmenden Software wie sie
zum Beispiel auf einem Server läuft -- hat gleichzeitig mit der jeweiligen
Version des fertigen Programms veröffentlicht zu werden. Diese Pflicht
trifft nicht nur die Entwickler, sondern auch jeden Distributor der
Software. Nur dann ist es möglich, zeitnah unabsichtliche Sicherheitslücken
und absichtliche Hintertürchen zu entdecken, bevor das Programm zu große
Verbreitung erfährt.

Wie machte man das bei der Corona-App? Zuerst wurde die mal mit viel Trara
in einer ersten Version rausgeschmissen. Diese Version versprach, daß die
Nutzer darüber die volle Kontrolle behalten. Ob das wahr war oder nicht,
zeigte einem allerdings kein Licht, sondern da mußte man einfach darauf
vertrauen. Die zweite Version sollte viel benutzerfreundlicher sein --
sprich: Die Kontrolle durch die Benutzer wurde eingeschränkt. Auch sehr
vertrauenserweckend!

NGOs als Beta-Tester

Aber dafür wird es ja bald Open Source! Schnecken! Bei Accenture sagt man
jetzt, das ginge nicht so schnell, weil man da noch Probleme mit Lizenzen
habe. Allerdings wußte man bei dem Konzern auch, daß man sich damit noch
mehr Mißtrauen einhandelt. Man kam auf die Königsidee, daß man einzelnen
NGOs Einsicht in den Code nehmen läßt. Am 9.April bekam EpicenterWorks diese
Möglichkeit. Die sind da allerdings recht skeptisch. Daß Accenture erst auf
Druck hin auch den Code der Serverkomponente herausrückte, war ziemlich
symptomatisch. Die NGO unterschrieb nolens-volens einen Knebelvertrag vulgo
"Geheimhaltungsvereinbarung", weil man ansonsten nicht an den Code gelangt
wäre. Die Formulierungen in diesem Vertrag sind so, daß die NGO
wahrscheinlich den Code nicht einmal kompilieren, also in ein lauffähiges
Programm umwandeln dürfte, um zu überprüfen, ob das wirklich der aktuelle
Stand ist und identisch mit der fertigen App. Auch weiß niemand, ob nicht
gleich ein weiteres Update passieren wird, was die Code-Review schon wieder
obsolet machen würde.

Diese Code-Analyse ist auch nur bedingt vertragskonform veröffentlichbar.
Einige Kommentatoren meinten daraufhin, daß die wenigen zum Schweigen
verpflichteten NGOs einfach nur als Beta-Tester einer App mißbraucht würden,
weil Accenture seinem eigenen Code nicht so wirklich vertraut. Kein Wunder:
Bei der Geschwindigkeit, wie diese App und auch die Entsprechungen in
anderen Ländern auf den Markt gebracht worden sind, ist zu vermuten, daß die
Code-Qualität ungefähr der legistischen Qualität der diversen Corona-Gesetze
und -Verordnungen entspricht.

EpicenterWorks verlangt weiterhin eine echte Veröffentlichung. Daß diese
aber wahrscheinlich gar nicht geplant ist, zeigt ein weiterer Passus in der
Vereinbarung: Sofort nach Fertigstellung der Code-Review habe die NGO den
Code sofort wieder zurückzugeben oder zu vernichten. Jegliches Kopieren ist
von vornherein untersagt. Anscheinend will der Konzern nur die Kritik an der
App zum Verstummen bringen.

Ein seltsames Paar

Daß man das aber alles so schnell auf die Beine gestellt hat, liegt wohl
weniger an der pandemischen Dringlichkeit, sondern daran, daß international
an ähnlichen Lösungen gebastelt wird, die in Konkurrenz zu nationalen
Lösungen wie dem UNIQA-Projekt stehen. Allen voran ist da ein erstaunliches
Joint-Venture zwischen Google und Apple, das am 10.April öffentlich
angekündigt worden ist. Mitte Mai soll weltweit eine App auf den Geräten der
beiden Smartphonezampanos verfügbar sein, die man der Kontrolle durch die
lokalen Behörden übergeben möchte, die diese dann nach ihren Bedürfnissen
konfigurieren könnten -- die Funktionalität soll identisch sein mit der
hiesigen Softwarelösung. Demnächst aber soll diese App sogar in die
Betriebssysteme Android und iOS direkt eingebaut werden. Beides soll
natürlich auch nur freiwillig implementiert werden -- wie ein Update eines
Betriebssystems aber für den Normalnutzer verhinderbar ist, steht auf einem
anderen Blatt.

Aber auch dieses seltsame Konsortium könnte zu langsam sein. Das Projekt
PEPP-PT (Pan European Privacy Protecting Proximity Tracing) steht kurz vor
seiner Fertigstellung und auch an der US-amerikanischen Elite-Uni MIT
bastelt man schon fleißig an einer Lösung. Der Quellcode von PEPP-PT soll
sogar unter der Open-Source-Lizenz der Mozilla Foundation veröffentlicht
werden. Ob das wirklich passiert, bleibt nach den Erfahrungen mit Accenture
allerdings fraglich. Blind vertrauen sollte man auf alle Fälle beim heutigen
Stand keiner einzigen dieser Apps.

Was aber sicher kommen wird, ist ein Schwall von Internetbetrügern, die
Mails aussenden, um aufzufordern, sich doch ein vermeintliches
Sicherheitsupdate der diversen Apps herunterzuladen. Dann hat man ganz
sicher einen Trojaner am Handy.
-br-

***************************************************
Der akin-pd ist die elektronische Teilwiedergabe der nichtkommerziellen
Wiener Wochenzeitung 'akin'. Texte im akin-pd muessen aber nicht
wortidentisch mit den in der Papierausgabe veroeffentlichten sein. Nachdruck
von Eigenbeitraegen mit Quellenangabe erbeten. Namentlich gezeichnete
Beitraege stehen in der Verantwortung der VerfasserInnen. Ein Nachdruck von
Texten mit anderem Copyright als dem unseren sagt nichts ueber eine
anderweitige Verfuegungsberechtigung aus. Der akin-pd wird nur als
Abonnement verschickt. Wer versehentlich in den Verteiler geraten ist, kann
den akin-pd per formlosen Mail an akin.redaktion@gmx.at abbestellen.

*************************************************
'akin - aktuelle informationen'
postadresse a-1170 wien, lobenhauerngasse 35/2
redaktionsadresse: dreyhausenstraße 3, kellerlokal, 1140
vox: 0665 65 20 70 92
http://akin.mediaweb.at
blog: https://akinmagazin.wordpress.com/
facebook: https://www.facebook.com/akin.magazin
mail: akin.redaktion@gmx.at
bankverbindung lautend auf: föj/BfS,
bank austria, zweck: akin
IBAN AT041200022310297600
BIC: BKAUATWW