DATEV TechBlog
Published in

DATEV TechBlog

Olympia und die App My2022

Von: Stefan Hager

Manchmal gibt es Themen, über die könnte man noch viel mehr schreiben und müsste Hintergründe erklären, um den Kontext richtig zu setzen; und wenn man das alles einigermaßen gut aufbereitet hat, wird ein viele Seiten langer Artikel draus, der trotzdem Meinung enthält, wenn auch vielleicht mehr Fakten als ein Blogbeitrag. Und wie bei Allem, was sich im Umfeld von staatlichen Interessen bewegt, besteht die Möglichkeit, dass man etwas übersieht. Aber vielleicht noch mal von vorne.

Jonathan Scott, ein Journalist aus den USA, hat die chinesische App My2022 analysiert, welche verpflichtend für Olympioniken und Zuschauer, Helfer und überhaupt alle Personen ist, welche zu den olympischen Spielen nach China gereist sind. Scott schrieb in einem Tweet, dass die App alles Audio sammelt und auf chinesischen Servern speichert, wo es weiter analysiert wird. Weiterhin postete er Screenshots von seiner Arbeit.

Und hier kommt der erste Seitenabstecher, der näher beleuchtet werden sollte: In der Community der Reverse Engineers, die gerne Apps zerlegen und prüfen, werden die Methoden von Scott scharf kritisiert, da sie offenbar technische Unsauberkeiten wie “Decompilieren für den falschen Prozessortyp” und andere grobe Fehler enthalten. Scott wird ebenfalls vorgeworfen, seinen Tweet nicht verständlich geschrieben oder korrigiert zu haben, denn viele Medien haben seine Aussage interpretiert als “Die App schneidet ALLES Audio mit, das Micro ist ständig offen”.

Ich will in diesem Blog China nicht verteidigen. Aber es gibt so ein paar Fakten und auch ein paar Annahmen, die man sich auch selber beim nachdenklichen Kauen auf einem Leberkäsweckla erschließen kann.

  1. Die meisten Apps funktionieren so, dass eine Datenverarbeitung auf einem Backend (sprich: über’s Internet) stattfindet. Das Handy ist nicht für on-premise (on-Handy?) Software ausgelegt, wenn die Komplexität ein “Hello World” übersteigt. Also kommuniziert natürlich auch My2022 mit Servern im Hintergrund. Die App dient ebenfalls als Corona-Wächter und sendet dementsprechend natürlich Daten weiter.
  2. Wie bei allem, was auf Spracheingabe reagiert, ist das Mikro immer offen. Alexa, Google Home und alles über Sprache steuerbare müssen ja reagieren, wenn sie angesprochen werden. Wann und welche Daten zur Interpretation an das Backend geschickt werden, oder auch gespeichert werden, ist dann eher die Frage.

Und dann 3. — so leid mir das tut, wir reden hier von China. Die staatlichen Geheimdienste — ach was, eigentlich alle staatlichen Dienste — interessieren sich natürlich sehr für alle Informationen, die sie bekommen können und werden auch nicht durch eine DSGVO oder ähnliches eingeschränkt. Auch ohne App kann man einzelne Handys tracken, mit der App als Verknüpfung weiß man auch, wem diese gehören. Mit Keycards kann man Bewegungen von Personen tracken. Kameras etc. runden das Bild weiter ab.

Klingt jetzt wie ein Vorurteil, aber es käme wirklich für niemanden überraschend, wenn China so viele Daten wie nur möglich sammelt, speichert und mit Machine Learning auswertet. Das wäre auch in Russland und selbst den USA wenig überraschend.

Der Drang zu Überwachung und Informationssammlung für Länder ohne erkennbaren demokratischen Ansatz ist übrigens nicht neu. In Tallinn, Estland, gab es während der UdSSR-Zeit ein Hotel für ausländische Gäste — mit versteckten Kameras und Mikrofonen in jedem Zimmer. Ein Museum im heutigen Hotel stellt das recht anschaulich dar.

Spannend ist für die Olympioniken und Freunde dann eher die Frage, ob die App sich deinstallieren lässt, wenn sie wieder daheim sind.

Olympia in China wäre als Teilnehmer ein Paradebeispiel für ein Burner-Phone; ein günstiges Smartphone, neue SIM (vielleicht eine chinesische), bei der Abreise wegwerfen (oder verschenken, ist umweltfreundlicher). Dann stellt sich die Frage nicht, ob das Hauptgerät infiziert ist. Soweit mir bekannt, wird sogar jeder teilnehmenden Person ein Handy von Samsung geschenkt / zur Verfügung gestellt, das man exakt dafür nützen könnte.

Im Nachgang stellen jetzt auch renommierte Institutionen wie z.B. Citizen Lab Probleme mit der App fest; für die Verschlüsselung notwendige Zertifikate werden nicht auf Authentizität überprüft und anderes. Absicht oder schlampige Arbeit? Wer soll das beurteilen? Aber nochmal: ich will hier China gar nicht in den Schutz nehmen. Es ist nur etwas scheinheilig, sehenden Auges in Lava zu springen und sich dann zu beschweren, dass es warm wird.

Die Empörung der Medien sowie von Scott und Konsorten ist eine Farce, egal ob sie mit der Analyse der App MY2022 Recht haben oder nicht. Was erwartet man denn, wenn man in diesen Staat einreist?

Photo by Viktoria M. on Unsplash

--

--

Alles rund um Herausforderungen der Softwareentwicklung, Produktentwicklung und Unternehmenskultur bei DATEV.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store