Skandal um Corona-Überwachungs-App „Luca“ des Rap-Rentners SMUDO!

Diesen Artikel werden nur Menschen in Gänze verstehen, die man früher „IT-Experten“ nannte (wie nennt man die eigentlich heute?). Der Rest braucht nur Folgendes zu wissen: Bei der Entwicklung der Corona-Überwachungs-App „Luca“ wurde Software „geklaut“, ohne den Ursprungsentwickler anzugeben. Das klingt nicht nur unseriös, das kann auch böse Folgen haben – den Rausschmiss aus dem App Store von Apple beispielsweise.
All das ist besonders brisant, weil Moppelchen SMUDO („Fantastische Vier“) seit Wochen rumheult, dass sich die Bundesregierung nicht mit seiner Überwachungs-App beschäftigt, respektive sie den Bundesbürgern empfiehlt.

Dazu IT-Experte Ralf Rottmann: „In diese Hände legt man persönliche, gesundheitsbezogene Daten auf keinen Fall. Bundesländer, die ihre Bürger:innen dazu ermutigen, bestätigen die eigene, digitale Inkompetenz.“

Von RedaktionVor 2 StundenEinen Kommentar hinzufügen3 Minuten Lesezeit

Lest dazu auch: Merkel-Lutscher „SMUDO“ ist nun freiwilliger Mitarbeiter beim „Ministerium für Staatssicherheit“

Das eskalierte schnell!

Für einen kleinen Teil des #LucaApp Gesamtsystems wurde gestern Quellcode in Auszügen veröffentlicht. Dies unter einer Lizenz, die den Widerwillen, mit dem das geschehen ist, nicht deutlicher hätte ausdrücken können. Pikantes Detail: Das Unternehmen verwendet in seinem kommerziellen Produkt selbst echte Open Source Komponenten Dritter, verletzt deren Lizenzvereinbarungen dabei mutmaßlich und entfernt einfach frech die mindestens erforderliche Attribuierung für die auf diese Art „gestohlene“ Software. Der Entwickler der Komponente wurde korrekterweise darüber informiert.

Nachlesen kann man das hier: https://github.com/thesimj/jBaseZ85/issues/1. — Findet sich das selbe Vorgehen in der iOS app – der Code fehlt noch vollständig – verstößt #LucaApp damit aller Wahrscheinlichkeit nach gegen Abschnitt 5.2 der Apple Guidelines und könnte aus dem App Store fliegen.

Den dazu erforderlichen Dispute kann und sollte man Apple beizeiten hier melden: https://apple.com/legal/internet-services/itunes/appstorenotices/#/ Das geht übrigens auch für Dritte. Aller Wahrscheinlichkeit nach kann #LucaApp die Komponente nicht einfach transparent austauschen. Sie erledigt das Encoding der im QR-Code repräsentierten Informationen. Ein Austausch würde also die bereits in Verwendung befindlichen QR-Codes ungültig machen – hier rächt sich u.a. die parteipolitisch motivierte vorschnell getroffene Einkaufsentscheidung.

Google nimmt Hinweise auf die Verletzung von Open Source Lizenzen hier entgegen: https://support.google.com/googleplay/answer/2853570?co=GENIE.Platform%3DAndroid — Noch immer ist übrigens auch unklar, ob die zwingend erforderliche Datenschutz-Folgenabschätzung (#DSFA) durchgeführt und vorgelegt wurde. Eine Anfrage dazu hat @fragdenstaat auf den Weg gebracht: https://fragdenstaat.de/anfrage/datenschutz-folgenabschatzung-dsfa-fur-die-luca-app/.

Fazit: Selbst wenn man dem #LucaApp Teilhaber @lesmoureal gute Absichten und eine generelle Unerfahrenheit mit Software-Projekten dieser Größenordnung unterstellen mag, zeigt diese erste Veröffentlichung einmal mehr, dass die #LucaApp Macher das kleine 1×1 ihrer Domäne nicht verstehen. Oder es aus kommerzieller Motivation absichtlich verletzen.

Lizenzvereinbarungen, die so klar gegen Transparenz gerichtet sind, potentiell gestohlene Open Source Komponenten, für die deren Lizenzvereinbarungen einfach modifiziert werden und die Verletzung der #DSGVO sind Indikatoren für das unternehmerische Selbstverständnis der #LucaApp Macher culture4life GmbH. In diese Hände legt man persönliche, gesundheitsbezogene Daten auf keinen Fall. Bundesländer, die ihre Bürger:innen dazu ermutigen, bestätigen die eigene, digitale Inkompetenz. Mit potentiell katastrophalen Folgen. In zwei Wochen kommt die offizielle Lösung des @rki_de mit einem Update der #CoronaWarnApp. Dann hat dieser Spuk hoffentlich ein Ende.

Update: #LucaApp hat nun eiligst die eigene Lizenzvereinbarung geändert und auch den Copyright-Hinweis der Drittkomponente wieder eingefügt. Ein Klassiker: Versuchen & hoffen nicht erwischt zu werden. Erwischt! Schnell „nachbessern“. So darf man das nicht machen.

Wie steht es bei einer solchen Grundhaltung wohl tatsächlich um die Sicherheit unserer Daten? Welche Pläne hat #LucaApp bereits heute für die Weiterverwertung dieser in der unternehmerischen Tasche? Glaub- und vertrauenswürdig ist da inzwischen nichts mehr.

Die in-app Attribuierung aller genutzten Drittwerke fehlt bei iOS vollständig. Das kann man auch nicht „still und heimlich“ nachbessern. Deshalb sollten Wettbewerber den Verstoß schlicht bei Apple melden. Ich gehe davon aus, dass das bereits passiert.

So viel Dreistigkeit gehört jetzt angemessen adressiert.Ralf Rottmann | Twitter | 31. März 2021

Quelle

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

<span>%d</span> Bloggern gefällt das: