A study describes the data transmitted to backend servers by the Google/Apple based contact tracing (GAEN) apps in use in Germany, Italy, Switzerland, Austria, and Denmark and finds that the health authority client apps are generally well-behaved from a privacy point of view, although the Irish, Polish, Danish, and Latvian apps could be improved in this respect. However, the study also finds that the Google Play Services component of the apps contacts Google servers as often as every 20 minutes, potentially enabling fine-grained location tracking. Google Play Services, which users cannot turn off if they want to use the contact tracing app, also shares numerous details – serial numbers of SIM cards and hardware, phone IMEI, MAC address, and user email address with Google, along with fine-grained information about other apps running on the phone. While data protection impact assessments have been carried out for the health authority client app components, they have not been made public for the GAEN component.
Source: https://www.scss.tcd.ie/Doug.Leith/pubs/contact_tracing_app_traffic.pdf
Source: Study finds gaps in GAEN contact tracing apps privacy protection | Privacy International
De CoronaMelder-app stuurt tijdelijk geen waarschuwingen van mogelijke besmettingen naar andere gebruikers vanwege privacyproblemen.
Het stopzetten van de meldingen heeft te maken met het onveilig opslaan van de codes van CoronaMelder op Android-telefoons. Met het stopzetten wordt voorkomen dat gebruikers van de app in Nederland gekoppeld kunnen worden aan gegevens die toegankelijk zijn voor derden via het systeem van Google.
CoronaMelder maakt gebruik van het Google Apple Exposure Notification (GAEN) framework om ontmoetingen te detecteren. Het framework maakt gebruik van steeds wisselende willekeurige codes die worden uitgewisseld wanneer twee telefoons dichtbij elkaar zijn. Zo kan worden vastgesteld of iemand in contact is geweest met iemand die achteraf besmet bleek. Dit is een privacyvriendelijke manier om ontmoetingen bij te houden.
Derden zouden deze codes niet moeten kunnen verzamelen en inzien. Op telefoons die gebruik maken van Google Android is dit wel mogelijk. Apps die meegeleverd werden met een telefoon konden vaststellen of de telefoon in bezit is van iemand die eerder als besmet is gemeld in CoronaMelder en welke ontmoetingen met besmette personen hebben plaatsgevonden.
Woensdag gaf Google aan het probleem te hebben verholpen. Om hier zeker van te zijn worden de komende 48 uur geen codes van Nederlandse gebruikers van CoronaMelder die zich besmet hebben gemeld gedeeld met andere gebruikers van CoronaMelder. Deze tijd wordt gebruikt om te onderzoeken of Google het lek daadwerkelijk heeft gedicht.
Source: Temporary stop NL Corona Tracing App due to privacy problems (Dutch) | Emerce
Robin Edgar
Organisational Structures | Technology and Science | Military, IT and Lifestyle consultancy | Social, Broadcast & Cross Media | Flying aircraft