Follow

Die ist nicht auf dem -Droid? ūü§ĒūüĎÄ

Lasst uns das ändern!

Dank @microg ist es jetzt mgl. die App ohne ‚ÄěGoogle Play‚ÄĚ-Dienste zu benutzen. Es gibt daher (IMHO) kein Argument mehr gegen eine Ver√∂ffentlichung auf F-Droid!

Und könnten mehr Vertrauen aufbauen und eine unabhängige, automatische Verifizierung der durch Dritte ermöglichen!

github.com/corona-warn-app/cwa (englisch)

@fdroidorg

· · Web · 7 · 42 · 31

Bitte "upvote" den Issue github.com/corona-warn-app/cwa auf GitHub, wenn du auch willst, dass die deutsche -App auf F-Droid erscheinen soll.
Das zeigt, dass es eine Nutzerbasis gibt, die dieses Feature benötigt.

Show thread

@rugk Der thumbs-up counter ist jetzt schonmal bei 29 ... die #CWA auf degoogleten Systemen lauff√§hig zu bekommen w√§re wirklich ein sch√∂ner Schritt forw√§rts - die auf der GitHub-Seite gelisteten zu erwartenden Probleme beim Selbstbau aus den Quellen motivierten ja auch nicht gerade zu so einem Versuch; naja, dank fDroid k√∂nnen wir ja immerhin schonmal nach nahen CWA Sendern (UUID 0xFD6F) scannen... ūü§Ē

@carpenoctem ja du kannst dir nat√ľrlich auch irgendwie (bspw.) √ľber Aurora Store die APK ziehen und dann geht es, aber F-Droid w√§re halt wirklich besser. Deswegen der Issue.

Das reine Anzeigen der Bluetooth-Beacons hilft dir ja aber wenig. :)

@rugk
@carpenoctem
Gerade hab ich mir per Aurora Store die CWA geholt. Auf meinem Telefon ist auch microG installiert. Allerdings meldet die CWA, dass sie nur mit aktualisierten GooglePlayServices arbeiten w√ľrde.
Über Aurora Store wurde mir eine aktualisierte microG-Version angeboten. Habe ich dann auch mal installiert. Der Erfolg blieb allerdings auch nach einem Neustart des Telefons aus, die CWA will immer noch aktualisierte GooglePlayServices. Da ist wohl noch etwas Feinarbeit nötig.

@Monty hmm klingt nach einem Bug. Wende dich bei Bedarf an den microG issue tracker.

@rugk Fände ich gut, aber wie soll das funktionieren? Die Google-Client-Libraries sind doch auch proprietär.

@gerhardbeck @rugk Ich f√ľrchte, es ist aktuell nicht m√∂glich, die APP ohne Google Services zu betreiben, d.h. es bringt wohl nicht viel, wenn man sie ohne Google installieren kann.

Ich habe es intensiv selbst versucht, auch mittels der neuesten Version von #microg - bin aber leider gescheitert.

Richtig wäre es aus meiner Sicht zu fordern, dass die APP auf AOSP ohne Google Dienste läuft. Wenn das erledigt ist, könnte man sie auch in fdroid einstellen.

@tk @rugk
Was bringt die App in f-droid ohne der contact tracing API von Google bzw. Apple?

@luz1 @tk mit @microg funktioniert die App auch ohne Google Play Services.

@rugk @tk
Das contact tracing macht ja das OS und nicht die App. Wenn aber microg das tracing beherrscht (was ich nicht weiß) ist ja alles ok.

@tk @gerhardbeck doch es ist eben möglich, das weiß ich aus eigener Erfahrung. Wenn das nicht geht, evt. einen bug report bei microG aufmachen.

@rugk @microg @fdroidorg

I don't think this is possible for policy reasons. This app will only ever be published to the play store and google allows only apps published to play store to use it's exposure notification api.

Publishing and maintaining an app that builds on the same codebase but uses the microg api (someone would still rewrite the client parts as free software I believe, or maybe @larma has done that already) would be separate task.

@Bubu

Work on creating a fully FOSS version of SwissCovid by replacing play services client library with microG is already ongoing, led by EPFL C4DT, see github.com/microg/android_pack

If SAP (or someone else) wants to provide such a version of #CoronaWarnApp, I'd be happy to support them.

@rugk

@Bubu
And if #CoronaWarnApp would use reproducible builds, F-Droid can ship it with a signature from the same key as used in Play Store, thus if EN API is enabled for the version in Play Store, it's also enabled for the version in F-Droid.

@larma I think that would still technically not be allowed? (Google could also technically enforce it by checking the frosting signature I think?)

From a technical standpoint though, this would mean CWA would need to switch to the microg client implementation adn will then work with either the play services or microg backend, whatever it finds on the device?

@larma @rugk I guess I'm mostly saying that I don't see much hope in SAP doing this, unless you convince whoever pays them (Bundesregierung?) first that this should be done.

@Bubu @rugk I agree on that part and I personally see little chance for a fully FOSS #CoronaWarnApp, but that doesn't mean we shouldn't tell them that we want it.

@Bubu
As far as I know, Google is not checking the frosting signature for EN API usage. I can't answer the question though, if it is allowed to use the same signing key in Play Store and outside Play Store under the special agreement they have with users of EN API.

@Bubu
The microG client library can be used such that
- It uses original Google services or microG on devices that have either installed.
- It falls back to a bundled microG EN implementation in any other case.

Such a build could be used in Play Store and F-Droid alike. If Google allows so. In that case even frosting wouldn't be an issue as the frosted version could be put in F-Droid as well.

@rugk The people who maintain CWA aren't paid to provide that separate app, so this won't happen there. I don't think there's much you can do on that front unfortunately.

@Bubu don't get why it needs to be seperate though. With microG it just works if you use the APK from F-Droid. It's as simple as putting that app on F-Droid?

@rugk @Bubu Ich verstehe nicht ganz wie du das meinst; mit den vorhandenen Dependencies auf Google-Libraries ginge das doch nicht "einfach so", nur weil Nutzer:innen alternativ microg installieren k√∂nnen ‚Äď meinem Verst√§ndnis nach sind hier propriet√§re Komponenten in der Clientsoftware vorhanden (github.com/corona-warn-app/cwa)?

@rugk @microg @fdroidorg Haha, schön wärs. Hab versucht, die Corona-App auf einem Google-freien Handy mit microG zu installieren, mehrmals. Hat nie funktioniert.

@turion ich habe selbst Geräte eingerichtet, wo es geht. Du bist also evt auf einen Bug da getroffen. Melde den ruhig im microG issue tracker.
Beachte auch die neuste Version von microG zu nutzen.

@turion bzw wie genau schlägt die Installation denn fehl? Eine apk installieren sollte immer gehen?

@rugk Das Problem ist, dass die Corona-App auch mit microG und allen aktivierten Features behauptet, dass das Gerät nicht Contact-Tracing-fähig ist. Obwohl andere auf dem gleichen Modell die App schon zum laufen gebracht haben.

@turion bei @microg muss haupts√§chlich der selbstcheck funktionieren. Der Rest ist f√ľr contact tracing egal.
Ansonsten an wenden wie gesagt, die können eher helfen.

@rugk @microg Es scheint, dass der Bug schon gemeldet ist: github.com/microg/android_pack

Leider ging so viel anderes (gekaufte Apps bei Play Store, Carsharing, Signal) auch nicht. Bin mir noch nicht sicher, ob es sich lohnt.

@rugk
Wenn eine staatlich gef√∂rderte Anwendung explizit als "Open Source" und "als das Beste" beworben wird, sollte die Verf√ľgbarkeit im Fediverse (z. B. √ľber F-Droid) eigentlich selbstverst√§ndlich sein. Wobei ich pers√∂nlich nach wie vor der Meinung bin, dass das Problem mit technischen Hilfsmitteln, wie dieser Kontakteverfolgung, nicht gel√∂st werden kann. Hinter dem Nutzen, hinter dem Mehrwert dieser Anwendung steht ein gro√ües Fragezeichen. Schwachpunkt Bluetooth!
@microg @fdroidorg

@rugk @microg @fdroidorg @ytvwld

Halt, Stop ! Wer garantiert uns, dass die CWA nicht doch auch ohne Playstore weiterhin mit Google/Apple telefoniert? @ytvwld hat mit seiner Kritik an den proprietären Libraries Recht, siehe auch, die Analysen der TU Darmstadt:

tracecorona.net/de/2020/06/16/

@schurig
Bitte zieh mich da so nicht mit rein. Ja, es w√§re sch√∂ner, wenn die App keine propriet√§ren Libraries nutzen w√ľrde, das mit den Bewegungsprofilen ist aber schon etwas weit hergeholt. (Da habe ich vor ein paar Monaten mal was zu geschrieben: ytvwld.de/blog/cwa.html )
@rugk @microg @fdroidorg

@ytvwld
"Ein Beispiel dazu: BlueFrag (CVE-2020-0022) ist ein Bug in Android, der √ľber Bluetooth ausgenutzt werden kann und schon ziemlich fies sein k√∂nnte. Er wurde mit den Android-Sicherheitsupdates von Februar geschlossen."
Diese "Android-Sicherheitsupdates" bleiben aber √§lteren Ger√§ten grunds√§tzlich vorbehalten. Oft gen√ľgt schon das Alter von 12 Monaten. Wenn man Gl√ľck hat, sind es 24 Monate oder sogar noch ein bischen mehr. Generell ist sp√§testens ...
@schurig @rugk @microg @fdroidorg

@ytvwld
... nach 24 Monaten die Obsoleszenzgrenze erreicht bzw. √ľberschritten. Und damit ist dann auch Feierabend in Sachen "Android-Sicherheitsupdates". Einziger Ausweg: CustomROMs. Die werden dann aber paratoxerweise von der Anwendung (CWA) als "Sicherheitsrisiko" erkannt. ūü§¶ Eine Installation/Nutzung derselben ist damit vom Tisch.
@schurig @rugk @microg @fdroidorg

@ytvwld @danilo @rugk @microg @fdroidorg

Ja, es gibt viele Dinge, die die Macher der CWA nicht wissen (können).
Laut ihrer eigenen Datenschutzfolgenabsch√§tzung wissen sie auch nicht, "inwieweit Google und Apple die Daten [...] verarbeiten" und sehen selbst das Risiko, dass ein "Zugang/Zugriff zu Gesundheitsdaten (Infektionsstatus) trotz fehlender Berechtigungen zu CWA √ľber API/ ENF (Datenabfluss an Google/ Apple)" erfolgt. Weiter hei√üt es in der offiziellen Folgenabsch√§tzung: "Der Umstand, dass die CWA App die Konnektivit√§ten und das ENF von Google und Apple verwendet, stellt ein erhebliches Risiko dar, welches durch das RKI jedoch praktisch nicht beseitigt und auf technischer Ebene auch nicht reduziert werden kann.‚Äú
Quelle: coronawarn.app/assets/document

@ytvwld Tut sie das? Ich kenne ein CustomRom-Ger√§t, was die App erfolgreich nutzt, ohne SafetyNet und co. Also auf jeden Fall nicht √ľberall.

Und wenn doch: Mach einen Issue auf.
@danilo @schurig

@rugk @ytvwld @danilo @schurig Hö, also bei mir läuft die CWA auf einem C-ROM auf Samsung-Stock-ROM-Basis mit Magisk, aber ohne Magisk Hide.

@rugk @microg @fdroidorg

Halt, Stop!
Wer garantiert denn, dass die CWA nicht weiterhin mit Google telefoniert? Niklas hat mit seiner Frage nach den prorietären Libraries Recht.

Siehe auch die Analysen/Angriffs-Szenarien der TU Darmstadt:

tracecorona.net/de/2020/06/16/

Sign in to participate in the conversation
chaos.social

chaos.social ‚Äď a Fediverse instance for & by the Chaos community