Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google zet bluetoothfunctie contactonderzoek via Play Services in Android

Google zet de bluetooth-api voor het registreren van contactmomenten in zijn framework Play Services. Daardoor werkt het op alle telefoons met Android 6.0 en hoger zonder dat een update van het besturingssysteem nodig is.

De bluetooth-api is een samenwerking met Apple en moet apps in staat stellen om toegang te krijgen tot een systeem waarbij telefoons id's kunnen uitwisselen om zo later gebruikers te kunnen waarschuwen dat ze in contact zijn geweest met iemand bij wie het coronavirus is vastgesteld. Die api komt half mei uit en nu heeft Google bevestigd, onder meer tegen 9to5Google, dat het bedrijf de ondersteuning zal verspreiden via Play Services.

Google kan updates aan Play Services pushen naar alle telefoons met Google-diensten aan boord, ook als die een verouderd besturingssysteem draaien en zelfs als de fabrikant gestopt is met de ondersteuning. Play Services draait op Android 6.0 of hoger, wat vermoedelijk op vrijwel alle actieve Android-telefoons in de Benelux staat.

Het internetbedrijf zal ook een framework publiceren voor Android-telefoons die geen Play Services hebben, zoals veel recente modellen van Huawei. Als Huawei dat framework inbouwt, kunnen apps die gebruikmaken van de api van Google, alsnog aan contactonderzoek doen via bluetooth. Het is nog onbekend of en wanneer Huawei de benodigde software daarvoor kan en gaat uitbrengen.

Google en Apple staan beide alleen erkende gezondheidsorganisaties toe om de api te gebruiken; voor andere apps is die niet beschikbaar. Apple zal een update van iOS pushen om de api in te bouwen. Dat gebeurt vermoedelijk volgende maand.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Arnoud Wokke

Redacteur mobile

14-04-2020 • 08:01

133 Linkedin

Reacties (133)

Wijzig sortering
Zoals ik het begrijp wordt een unieke key gegenereerd die via bluetooth wordt uitgezonden. Iedere persoon in jouw buurt ontvangt deze key en slaat deze op. Deze broadcast key wordt periodiek ververst dus lijkt er op dat men je niet via 1 key kan "volgen".
Wordt een persoon ziek dan wordt iedereen die afgelopen 14 dagen een van jouw keys hebben ontvangen geïnformeerd. Keys worden 14 dagen opgeslagen. Of dit allemaal veilig en anoniem (genoeg) is laat ik in het midden...
+1Anoniem: 604938
@angelina14 april 2020 09:23
Ik denk dat je met een factory reset zo van alle opgeslagen keys af bent.

Daarnaast heb ik 5 oude smartphones in een la liggen. Als ik moet kiezen tussen een virtuele besmetting (niet als ik daadwerkelijk ziek ben) en niet naar het werk mogen (en dus niks verdienen als ZZPer) of een oude telefoon meenemen, dan wist ik het wel...

[Reactie gewijzigd door Anoniem: 604938 op 14 april 2020 09:24]

Of je kiest er gewoon voor om de app / API niet te gebruiken. Het is een opt-in....
Dat is nog niet bekend, men onderzoekt of verplichten kan/mag. Daarnaast kan de regering het vrijwillig maken, maar winkels of werkgevers zouden het kunnen verplichten.
Dan schiet je er dus niks mee op om een oude telefoon te gebruiken.
+1Anoniem: 604938
@Jeroen14 april 2020 09:41
Jawel.

Ik gebruik telefoon A, totdat ik een markering "mogelijk besmet" heb. Dan moet ik in quarantaine en kan ik geen geld verdienen als werknemer. Of mag ik niet naar de winkel.

Dan zet ik telefoon B aan, ben ik weer vrij van een markering.

Ethisch? Nee, zeker niet. Maar ik kan je garanderen dat veel mensen dat gaan doen.
Kan je geen geld verdienen als werknemer ik mag toch aannemen dat je gewoon door betaald krijgt als je ziek bent ?
Als je in loondienst bent en onder een CAO valt vaak wel, maar als ZZP'er, of met een oproepcontract natuurlijk niet.
Ethisch?? moedwillig anderen op deze manier in gevaar brengen is mijn inziens gewoon een strafbaar feit..... en dit is overigens ook al wat gebeurt bij vergelijkende zaken.. dus ethiek is helemaal niet waar het hier om gaat....
Tuurlijk wel. Want hoe weet een rechter of ik net een nieuwe telefoon gekocht heb omdat van een markering af te komen, omdat ik toe was aan een nieuwe of omdat mijn oude stuk was? Dit kun je niet handhaven.

Behalve als je natuurlijk strafbaar stelt een nieuwe telefoon in gebruik te nemen tijdens de crisis. Telefoon stuk? Pech, dan maar verplicht thuis blijven.

Zelfde met factory reset. Deed ik dat omdat mijn telefoon gecrasht was of omdat ik van de markering af wou?

Allemaal niet controleerbaar en wel praktische problemen waar rekening mee gehouden moet worden.
mede door bovenstaande problemen zie ik een app, in wat voor vorm dan ook, geen succes worden.... daar gaat het me niet om.

maar als je moedwillig andere in gevaar brengt met dit virus ben je gewoon strafbaar bezig.. dan kun je nog allemaal trucjes bedenken om de straf te ontlopen, het blijft een strafbare handeling.. dit is nu ook al het geval, ook zonder app. dat is niet alleen een kwestie van ethiek.. dan begrijp je toch de ernst van deze coronacrisis nog niet helemaal.
Dat iets onethisch is wil niet zeggen dat het ook niet strafbaar kan zijn.

Er is nog geen wetgeving die verbiedt een telefoon te vervangen om onder de besmetting uit te komen. Totdat die er is kan het per definitie niet strafbaar zijn.

Als die wet er wel is, is die bijna onmogelijk om te bewijzen. Als een strafbaar feit niet bewezen is dan ben je niet strafbaar. Er is immers niet bewezen dat je een strafbaar feit gepleegd hebt.

Dan ben je wel nog steeds onethisch bezig.
fascist
wat??!

die app, in wat voor een vorm, zie ik niet zitten... daar gaat het niet om..

maar als je op wat voor manier doorkrijgt dat je een grote kans hebt op een besmetting, en ondanks dit gegeven willens en wetens anderen het risico geeft om door jou besmet te worden ben je gewoon strafbaar bezig.. immers hebben we het over een ziekte met hoog sterfte cijfer zonder goede behandeling... net zoals je vroeger strafbaar was al je als hiv positief persoon onbeschermd seks aanging met iemand die hier niet van op de hoogte was..
Niet mijn probleem vriend

Persoonlijke vrijheid is belangrijker
Dat is de overheid. Artikel gaat over Apple/Google.
Met als mogelijkheid om het door een overheid te gebruiken. Dat is mijn punt, de technische oplossing die Google nu schetst helpt de use-case niet.
Hoe zouden winkels of werkgevers dit kunnen verplichten? Volgens mij heeft dit wettelijk nogal wat voeten in aarde (lees: dit is absoluut niet toegestaan).

Mocht ik het fout hebben dan hoor ik dat graag.
Zie het al gebeuren, iemand loopt de winkel in, krijgt een week later corona, medewerkers krijgen nu allemaal een melding op de telefoon dat ze "in contact" zijn geweest en de winkel kan dicht voor 2 weken.
Aangeven dat je besmet bent doe je dus in de app van de gezondheidsorganisatie, niet op eigen houtje…
Maar je kan natuurlijk bij al je concurrenten langsgaan met een verse, cheape smartphone en dan die telefoon opsturen naar iemand met Coronaklachten vlak voordat 'ie getest wordt. De app hoort anoniem te zijn dus er is geen enkele manier om te bewijzen of ontkrachten dat een bepaalde telefoon van jou is of niet.
Er kan zoveel. Op een gegeven moment wordt het echter wel heel erg vergezocht. De concurrentie kan je ook ontvoeren en vermoorden, je huis in brand steken en daar heb je niet eens een app voor nodig. :+

Het is momenteel nog heel veel speculatie wat er straks wel/niet kan en wat de risico's zijn.
In je voorbeeld komen alle negatieve invloeden van jou en niet van het kabinet...
In de spec die Apple en Google hebben aangekondigd is het ook mogelijk om op elk moment je key te resetten. Het is sowieso de moeite waard deze spec even te bekijken, geeft antwoord op een hoop vragen die mensen hebben.
Dit is inderdaad het basale idee, maar het kan ook nog veiliger: https://arxiv.org/pdf/2003.11511.pdf
Ik kopieer mij vorige post aangaande BlueFrag maar hier:

Niemand lijkt erover te praten, maar was er niet een tijdje een beveiligingslek [CVE-2020-0022] die de naam BlueFrag was gegeven waar zolang iemand de MAC adres weet van je Bluetooth en je niet een bepaald patch van Februari had, dat iemand eigen code kon uitvoeren en zo een Android gebasseerde telefoon overgenomen kon worden, of in geval van Android 10 crasht?

https://insinuator.net/20...in-android-cve-2020-0022/

Is een maatregel gebasseerd op Bluetooth dan niet een groot risico voor telefoons die geen updates krijgen of nog maanden wachten op de een (wat bij Android vaak aan de orde is)? Want ik dacht dat het vrij makkelijk was te herleiden wat de MAC adres was via de MAC van je WLAN, omdat deze vaak overeen kwam, behalve de laatste cijfer, behalve denk ik als willekeurig MAC functie aanstaat voor WLAN, behalve als je bij de instellingen van Bluetooth komt, waar Android je MAC uitzend.
Bijvoorbeeld een Moto G5 Plus van een vriend is kwetsbaar, daar was vorig jaar de ondersteuning beëindigd op Februari 2019, die had niet genoeg geld en initiatief voor een nieuwe, omdat deze nog goed werkt, dus bleef hij deze gebruiken.
Mijn oude Moto X4 is ook kwetsbaar, de laatste patch was van Augustus 2019.


Met oudere Android versie hadden we een tijdje geleden BlueBorne, waar je telefoon ook overgenomen kon worden, welke wel al snel gepatcht werd, maar mijn oude Moto G3 kreeg deze patch niet.

https://www.armis.com/blueborne/


Als er gebruik gemaakt wordt van Bluetooth Low Energy, was er vorig jaar KNOB, waarover gezegd wordt alle bluetooth chips vatbaar zijn waar de besturingsysteem geen patch heeft, waar de encrypted verbinding niet goed werd opgezet en de verbinding afgeluisterd of aangepast kan worden.

https://blog.malwarebytes...f-bluetooth-knob-attacks/


Vooral met de huidige push van ING om de app te installeren zodat je kan blijven bankieren kan dit denk ik mogelijk gevaarlijk zijn, waar voor het grote deel mensen normaal Bluetooth niet aan hebben staan, nu gepusht worden om een app te installeren die Bluetooth gebruikt, dus er dan meer reden is dit lek te misbruiken in drukke gebieden, telefonen zouden na infectie potentieel gebruikt worden daarna andere telefonen met deze lekken te infecteren, bijvoorbeeld in de metro, winkel of eigen familie, zonder het te beseffen, wat toevallig beetje klinkt als een ander bekend virus...

[Reactie gewijzigd door TweetCu op 14 april 2020 10:47]

Op zich een goed punt, behalve dat veel mensen toch al hun bluetooth aan hebben staan zonder het te weten.

Het probleem is dat als iets anders dan Bluetooth LE wordt gebruikt, mensen de apps waarschijnlijk niet installeren of saboteren omdat je telefoon dan met een uur leeg is. Misschien dat een mesh-netwerk over WiFi-direct nog een optie is, maar verder weet ik weinig normale signaleringssysstemen in een telefoon die peer to peer dit soort data kan uitwisselen. Je zou de microfoon en speaker kunnen gebruiken voor ultrasone communicatie, maar Google en Apple komen er niet met een privacy-vriendelijke reputatie uit als ze constant je microfoon aan hebben staan (plus, dat kost een hoop batterij).

Eerlijk gezegd is net als bij StageFright de impact van de verscheidene bluetooth-bugs een stuk lager dan die zou kunnen zijn aangezien je op Android voor elk apparaat zo'n beetje een andere exploit moet maken. Zelfs als voor de bluetooth-daemon van dezelfde exploit gebruik kan worden gemaakt, moet je nog steeds enkele stappen priviledge escalation doen voor je uit de Bluetooth-daemon bent ontsnapt. Android doet met o.a. SELinux aan behoorlijk wat gesegmenteerde sandboxing van componenten.

De ING app zal dus niet snel onveilig worden door een Bluetooth-exploit. Daarnaast vind ik het argument dat Google bluetooth niet meer kan gebruiken omdat fabrikanten hun zaken niet op orde hebben ook een gevaarlijke. Misschien kan Google een melding tonen in de trant van "deze telefoon bevat nog geen fix voor een kritiek beveiligingslek en daarom kan het zijn dat de COVID-applicatie problemen met uw telefoon oplevert. Neem contact op met <fabrikant> op <nummer> voor vragen over hoe u uw telefoon kan beveiligen" zodat fabrikanten hun rotzooi oplossen.
Klopt, om root gebruiker toegang of tot andere delen van het OS te krijgen, moet er nog een lokale toegangs bug zijn waar de payload gebruik van moet maken, anders komt het niet heel ver, maar dat is nog steeds een groot risico, als je telefoon al nog de patch voor de Bluetooth lek niet heeft, intussen heeft de aanvaller nog wel privileges binnen de Bluetooth daemon, waar het daar mogelijk leuke dingen kan doen.

Het grote probleem zijn fabrikanten of telecom bedrijven en hun extreem slecht update beleid, ze brengen iedereen potentieel in gevaar, en dan nog voor te stellen dat ze graag telefonen steeds duurder willen maken en dat mensen steeds minder vaak een nieuw telefoon kopen...

[Reactie gewijzigd door TweetCu op 14 april 2020 12:00]

Als deze techniek hiervoor gebruikt wordt, zijn er altijd wel weer "slimmerikken" die deze voor andere doeleinden gaan gebruiken. Vroeg of laat ook de overheid.
Ik zie geen verschillen met wat iBeacon doet:

https://en.wikipedia.org/wiki/IBeacon

ook hier scant een transmitter naar BT devices in mobiele telefoons zonder te pairen, in bv. winkels. Er kan nog steeds een profiel worden opgebouwd, neem aan op basis van het MAC address etc.

Enige manier om niet getracked te worden is BT uit te zetten als je een winkel in loopt.

Ik erger met trouwens aan de dagelijkse Radio 1 hype waar de ene rolodex expert na de ander opduikt.

[Reactie gewijzigd door loekf2 op 14 april 2020 09:31]

En daar zijn al diverse applicaties omheen gebouwd. Schiphol monitort zo stromen passagiers, diverse steden monitoren bezoekers, winkels idem.
Hoe moeilijk is het om... Oh, dat is er al; zoek even op PAX demo. Zet op diverse plaatsen zo'n goedkoop ESP dingetje neer, en je weet precies welke telefoon waar geweest is, en wanneer. Heb het hier draaien, inclusief IoT connectie. Naar keuze MAC via wifi met of zonder BT scan...
Op PAX zoeken kom ik niet ver, wat voor (github gok ik) code heb je draaien op welke esp?
Nee, die transmitter scant helemaal niets: een transmitter "transmit" en dat is alles. Beacons zijn passief en dat geldt zowel voor iBeacon als Eddystone. De ondersteuning voor die laatste is echter uit Android gehaald, omdat het teveel misbruikt werd voor spam (versturen van URL's als passieve notificatie). iBeacon zal nog wel bestaan neem ik aan, maar dat werkt alleen wanneer je ondersteuning voor specifieke beacon id's in een app hebt ingebouwd. Is dat niet het geval kun je met nog zoveel BT apparaten rondlopen, maar de eigenaar van een beacon zal daar nooit wat van merken.

Je kunt je dus beter eerst wat ergeren aan jezelf met je verzonnen bezwaren. :P Dat scannen van MAC adressen gaat met wifi (niet met BT) en met BT contactonderzoek heeft het ook al niets te maken.
Ik kan me voorstellen dat je deze permissie moet opnemen in de manifest van de app voordat je hier gebruik van kan maken. Dit moet nu ook als je bluetooth wil gebruiken (er zijn nu iets van 3 opties met verschillende rechten). Google kan dus heel eenvoudig eisen stellen aan apps die hier gebruik van maken, en apps die naast deze API ook allemaal persoonsgegevens opvragen blokkeren. Aangezien zowel Google als Apple nu al onofficiele corona-apps weren, zullen ze misbruik van deze API ook wel afstraffen.
Daarnaast zijn er waarschijnlijk genoeg andere (en makkelijkere) manieren om mensen te volgen. In bijvoorbeeld Zuid-Korea en China zijn er al corona-apps om mensen te volgen/waarschuwen. Deze API is juist gemaakt om de privacy te garanderen.

[Reactie gewijzigd door Moortn op 14 april 2020 10:24]

Hopelijk kan een slimmerik een app maken waarin je virtuele puzzelstukjes uitwisselt, net zoals bij de 3DS destijds. Maar aan de andere kant wil je mensen in deze tijd niet aanmoedigen om naar buiten te gaan.
Als ik het goed begrijp zit deze API straks niet in Android. Maar moet elke telefoon steeds verbinding maken met de online google Play Services?
Google heeft alle APIs losgeweekt van het operating system en overgetankt naar Google Play Services, een bibliotheek die apart gedistribueerd maar vooral geüpdatet kan worden. Hierin zitten ook alle APIs voor Google-diensten, zoals YouTube, Gmail, Agenda, etc.

De low-level Bluetooth-API zit in het operating system, daar verandert niets aan. De nieuwe contactonderzoek-API is een toepassing die werkt óver Bluetooth, net zoals bijvoorbeeld de koppeling met je smartwatch, of draadloze audio. Deze kan daarom prima apart uitgegeven worden.
Ter vergelijking, er is een open source implementatie van deze API's genaamd MicroG:
https://microg.org/

Hier kun je trouwens in meer detail zien wat er allemaal in zit:
https://github.com/microg...iki/Implementation-Status
MicroG is op het moment van schrijven inderdaad een alternatief, maar verre van een bruikbaar alternatief.

Ik ben fan alternatieven, maar MicroG heeft nog veel werk nodig. Ik heb het op dit moment in gebruik, maar Safetynet werkt niet (dus geen HD Netflix bijv.), Snapchat doet het niet, Play Store doet het ook niet. Daarnaast doet Find My Device van Google het ook niet (maar dit verbaasd mij minder).
Nee. De API wordt aangeboden via Google Play Services als een soort van 'app' via de Store.
Natuurlijk moet de telefoon dan die update eenmalig downloaden online.
En nog belangrijker, je smartphone moet Google Play Services hebben.

Zelf gebruik ik bijvoorbeeld Aurora Droid (voor toegang tot F-Droid), Aurora Store (voor toegang tot Play Store) en microG op LineageOS. Wel de lusten, niet de lasten. Zo kan Google geen extra ongevraagde zaken naar mijn toestel sturen waar ik niet zomaar vanaf kan komen*.

* In theorie kan Google een opgehaalde APK uit de Play Store compromitteren, maar die heeft dezelfde toegang als dat de applicatie normaliter zou hebben. Dit is veel minder ingrijpend dan de diepe wortels van Google Play Services.

[Reactie gewijzigd door The Zep Man op 14 april 2020 08:38]

> Zo kan Google geen extra ongevraagde zaken naar mijn toestel sturen waar ik niet zomaar vanaf kan komen

Heb je voorbeelden?
Nieuwe API's waar ik niet om gevraagd heb, met name om advertenties en Bluetooth tracking te ondersteunen.
Ook andere voorbeelden? Want je laat het overkomen dat je jezelf nu tegen een lijst van problemen hebt beschermd, maar je geeft slechts een voorbeeld uit dit artikel.
Google Play Services (PS) heel veel apps kunnen er niet zonder en maken gebruik van de API's van de PS, WhatsApp voor een back up te maken, heel veel Games , YouTube, en ga zo door.

Google kan ook zulke dingen doen met de PS, ( Verassing je telefoon maakt heel vaak contact met PS), je telefoon zal via de Google Play Store, de PS updaten daardoor maakt je telefoon vanaf dan ook gebruik van van die API.
de play services zijn simpel gezegd alles wat google niet gratis in android wil steken en dé tool bij uitstek die ze gebruiken om data te verzamelen van gebruikers. Ze moeten niet altijd verbinding hebben, maar zullen wel altijd blijven loggen wat er gebeurt en achteraf doorsturen. Blokkeer je ze, dan kan geen enkele play store app nog updaten en zal er veel functionaliteit plots wegvallen.
Alvast een mooi filmpje van Arjen Lubach over de privacy implicaties van de apps die deze api moeten gaan gebruiken: https://youtu.be/S2g0GiCHyJE

[Reactie gewijzigd door schraal op 14 april 2020 08:14]

Niet zozeer de privacy, want het kan wel privacy-vriendelijk, maar ook het feit dat we onze mening al klaar hebben (van zowel de 'ik wil het'-kant als de 'ik wil het niet'-kant) zonder überhaupt te weten wat het is en hoe het werkt. En ook belangrijk dat het niet alleen om privacy gaat, want er zijn nog andere uitdagingen die er bij komen kijken.

Hoeveel mensen weten er hier nou wat de API doet en wat überhaupt een API is? Als ik sommige reacties lees lijkt het alsof niet iedereen op de hoogte is van wat Google nu eigenlijk aan het pushen is naar de store.

[Reactie gewijzigd door xFeverr op 14 april 2020 08:34]

Mooie aanvulling. En met de tweede paragraaf sla je de spijker op z'n kop.
Ben enorm skeptisch over dit soort initiatieven. Geloof niet dat apps goed inzichtelijk maken of er contact is geweest. Als het al technisch zou werken geeft het alleen maar een vage indicatie. Met flinke concequenties zoals verplichte quarantaine.
Nee bedankt. Zal deze app niet installeren.
Verplichte quarantaine? Dan merk ik niet zoveel verschil. Ik zit aan dag 29...(Be)

Maar velen zien de ernst niet in van de situatie.
Mensen sterven in ziekenhuizen zonder bijzijn van familie of vrienden als honden omdat ze geen pakken genoeg hebben.
0Anoniem: 604938
@System14 april 2020 09:26
De app lost het gebrek aan pakken niet op...
Toch wel: minder verspreiding -> minder besmettingen -> minder mensen in het ziekenhuis -> minder pakken nodig.
En de app voegt weinig toe zolang we niet veel meer testen.
Op https://www.google.com/am...-coronavirus-tracing/amp/ staan iets meer details, maar niet veel meer.

"The opt-in system uses Bluetooth to transmit a randomized and anonymous identifier to nearby devices"
Op https://www.google.com/am...-coronavirus-tracing/amp/ staan iets meer details, maar niet veel meer.
En hier de link minus de Google Man-in-the-Middle:
https://techcrunch.com/20...ogle-coronavirus-tracing/

Ironisch nu de discussie over privacy en Google weer los komt.
Op welke afstand worden bluetooth gegevens uitgewisseld?
Kun je dat ook beperken tot 1.5 meter, zelfs maar bij benadering?
Weet bluetooth hoe ver ik van een ander device ben?
Bluetooth bereik is 10 meter. Volgens mij moet je apps nog steeds toestemming geven om BT te gebruiken, in ieder geval in iOS, dus ik zie de privacy hype niet zo. Ben je het er niet mee eens, geef je geen toestemming. So be it.
Kan zo'n app ook verschil maken of twee auto's elkaar voorbij rijden en elkaar in de supermarkt voorbij lopen?
Ik ben geen viroloog, maar de kans op besmetting vanuit een auto lijkt me toch niet zo heel groot.
BT signaal komt er ook niet door heen denk ik.

Mijn post is outdated. Als Google en Apple iets als iBeacon gaan gebruiken, dan kun je dat alleen uitzetten als je BT volledig uit zet.
Je moet een bepaalde tijd op een bepaalde afstand gestaan hebben.
Via bluetooth kan men een (al bij al ruwe) meting doen van de afstand.

Ze maken gewoon van iedere telefoon een bluetooth tracker. Deze technologie bestaat al jaren.

[Reactie gewijzigd door System op 14 april 2020 13:43]

En hoe blokkeer je die toevoeging??

(...edit, en zoals de meesten hieronder wel doorhadden, dit als discussiestarter over de issues hieromheen, niet als daadwerkelijke technische vraag...)

[Reactie gewijzigd door Ro-Maniak2 op 14 april 2020 09:30]

Play Services wordt automatisch geupdated, weinig wat je daar aan kan doen zonder niet meer op het internet te gaan. Maaaar, als je bijvoorbeeld LineageOS op je smartphone flasht kun je kiezen om zonder Google diensten te leven ;) (zou ik voor de gemiddelde gebruiker niet aanraden)

Edit:
Maar dat Google een functionaliteit toevoegd aan Play Services betekent niet dat het ook gebruikt wordt. Google doet dit voor andere apps die het nodig zouden hebben. En dat zullen alleen "erkende gezondheidsorganisaties" zijn. Zolang je die apps niet installeert zal het ook niet gebruikt worden.

Edit 2:
En anders Bluetooth uit laten staan als je het niet gebruikt. Bij mij staat het praktisch altijd uit :)

[Reactie gewijzigd door job_h op 14 april 2020 08:11]

Edit 2:
En anders Bluetooth uit laten staan als je het niet gebruikt. Bij mij staat het praktisch altijd uit :)
Maar dan de vraag; is uit ook echt uit? Want daar zijn afgelopen jaren nogal wat discussies om geweest.
Deze API zal Bluetooth zelf aanzetten verwacht ik. Ik ben vooral bang voor de welbekende function creep en de waarborgen t.a.v. de data & privacy aspecten.
Staat hier altijd uit, want het slurpt batterij bij aanstaan + dat ik het niet gebruik dus gewoon uit.
Leef jij nog in 2008 of zo? ;)
alles vanaf Bluetooth 4.1 verbruikt zo goed als niets.
Weinig stroom of niet; ik zet altijd zoveel mogelijk uit wat ik niet gebruik. Dus NFC, Bluetooth e.d. staan standaard uit op mijn mobiele apparaten en ook Wifi gaat regelmatig uit. Het verkleint het aanvalsoppervlak voor hackers en beperkt de trackingsmogelijkheden.
Dat is een persoonlijke keuze die ik wel respecteer.
Maar het batterij argument hoef je voor bluetooth alleszins niet meer boven te halen :)
Dat is temerken, bij aan is binnen halve dag me accu leeg, bij uit 3dagen.

Maar kan best aan de gebruikte rom liggen hoor.

[Reactie gewijzigd door devil-strike op 14 april 2020 10:11]

Daar mag je best van uit gaan ja :D
slurpt batterij? Hoe oud is je telefoon?
Mijne staat altijd aan en heeft vrijwel de hele dag verbinding met mijn horloge en maakt automatisch verbinding met van alles in de auto/huis/werk als ik in de buurt ben.
Telefoon houdt het makkelijk 1,5 dag vol en als ik bluetooth uit zet wordt dat niet veel meer.
Niet zo heel oud is een Redmi7, maar zoals hierboven al melde kan best een ding zijn met custom rom die ik gebruik.

Maar dan nog gebruik het nooit dus dan gewoon uit.
Het is een API, dus zo lang je geen app download die er gebruik van maakt ;)
En geïnstalleerde app's die hiervan gebruik gaan maken verwijderd.
Volgens het artikel kunnen alleen erkende gezondheidscentra bij de api.
Als we eindelijk een vorm voor deze app hebben gevonden is het virus al weg vrees ik. ;)
En Google bepaalt wie dat zijn, net zoals Google bepaalt voor welke erkende gebruikerservaringsoptimalisaties ons gedrag 24/7 bespioneerd mag worden. Als Google zich hiermee gaat bemoeien kun je er gif op nemen dat de 'erkende gezondheidscentra' als paddestoelen uit de grond gaan schieten.
Denk eerder dat je er gif op kan nemen dat Google er wel voor zorgt dat ze niet met dat soort berichten in de media willen komen. Kom op zeg doe nou eens een keer normaal en denk niet altijd het slechtste in de mens.
Google komt zo vaak in het nieuws door privacy- of andere schandalen. Dat heeft geen enkel gevolg voor hun reputatie bij de meeste klanten.
Het is een api die andere apps kunnen gebruiken. Als je geen app hebt die de api gebruikt dan gebruik je het niet.
Zoals ik het lees werkt het via Bluetooth wat betekend dat als je Bleutooth doet uitzetten het niet zal werken. Dat is erg lastig. maar je kunt waarschijnlijk bij je app machtigingen deze app uitschakelen.

Ik zit niet te wachten op een spionage app die wat locatiebepaling omzeilt die je zelf hebt uitgezet. Want als persoon X locatiebepaling heeft aangezet en jij hebt die bepalin uitgezet dan weet Google dat jij op locatie Y bent geweest als de nieuwe api van Google op beide telefoons staat en Bluetooth aan staat.
Wat ik van alle verhalen begrijp is dat je een dag ID krijgt. En naast de dag ID krijg je een uur ID.
Dus elk uur een ander ID, waardoor "men" niet jou kan traceren als ze op straat of ergens online jouw ID hacken/buitmaken/achterhalen. Volgens mij zijn deze ID's ook niet tijd-gebaseerd maar random hashes. Waardoor je ook niet kan traceren wat de code van dinsdag middag is. Volgorde van ID's is namelijk niet relevant.

Dan slaat je telefoon lokaal de "gevonden" ID's van andere op. Deze worden 2 weken bewaard.

Over het volgende deel lees ik meerdere verhalen over en heerst er bij mij nog wat onduidelijkheid.
Als een gebruiker de symptomen van Corona krijgt, zal op een manier (mogelijk de arts op een serversite/backbone) een ping de wereld in geslingerd worden. Want ik zelf kan niet constateren dat ik Corona heb en weet niet of een huisarts of iemand anders de bevoegdheid krijgt om de data in de app te activeren.
Wat ik uit de verhalen ga proberen samen te vatten is het volgende;
Iemand krijgt de symptomen, meld zich bij de huisarts, de ID's worden in de server geladen? (geen bron, puur mijn gedachte) Dit zijn 2 weken aan uurcodes, niet meer dan dat. Geen locatie, geen persoonsgegevens, niets. Alleen uurcodes.
De server gooit een ping de wereld in. Alle app's vergelijken de online lijst met de lokale lijst. Als er een match is, krijg je een melding.

Jouw data blijft dus offline en lokaal.
Jouw apparaat verzamelt wel de gevonden ID's en slaat deze offline op.
Anderen vinden jouw ID en slaan deze offline op.
Bij elke Ping van de Corona server, kijkt jouw apparaat naar de serverlijst. Jouw verzamelde data blijft offline. Net als jouw ID opgevangen door anderen.

Pas als je ziek bent (welke gradatie is bij mij onbekend, alleen symptomen of volledig gediagnosticeerd) komen jouw eigen uurcodes beschikbaar. Hierover kan je zeggen "dit is mijn data dus privé"
Aan de andere kant kan je ook zeggen, "Dit is mijn data, mensen kijk uit! Blijf gezond!"

Dus als jij alles uit zet op je toestel behalve de app en BT, en iemand anders heeft alles aan. Zal Google/Apple/de Appbouwer/de artsen/verzin het maar/etc niet weten waar deze ontmoeting was. Alleen dat ID X - ID Y heeft gezien.


Als mensen deze gedachte/samenvatting kunnen weerleggen aan de hand van enkele bronnen, wil ik met alle liefde mijn post aanpassen/doorstrepen om desinformatie tegen te gaan.
Behalve dat ene (wardriving) Bluetooth baken in de hoek, dat stiekem zoveel mogelijk Bluetooth MAC adressen opslaat en niet enkel de corona applicatie ID's. Probleem is dat je, om met de Corona ID uitwisseling mee te doen, toch echt Bluetooth aan moet zetten. Daarmee automatisch toch ook een kwetsbaar MAC adres kan vrijgeven aan de sniffende wereld.

Veel mensen hebben vast al Bluetooth permanent aan, dan geen verschil. Echter als je Bluetooth zelf steeds netjes uitzet en alleen aan wanneer nodig, dan kan dat straks buiten niet meer icm corona app en zou je daarmee alsnog stukken beter te volgen zijn.

Denk technisch richting kismet/ubertooth:
https://www.kismetwireles...me/datasources_bluetooth/
Bestaat er geen methode om te voorkomen dat je toestel Bluetooth MAC adressen gaat uitzenden zodra je Bluetooth aan zet? Bijvoorbeeld door ze te vervangen door een random identifier? Of zit dit zo diep in het protocol dat Bluetooth aanzetten onvermijdelijk inhoudt dat je traceerbaar wordt?
Sommige besturingssystemen proberen dit wel te randomnizen. Maar bijvoorbeeld als je langdurig verbinding hebt met iets als een smartwatch oid wordt dat wat problematisch. Als zo'n corona app continu bakens wil uitzenden naar andere apparaten die die nog niet kent dan moet je het ergste gaan vrezen, want continu broadcasten zal toch ook al snel zo'n Bluetooth radio functie in gebruik houden.

Details over de nieuwe API nog niet gezien, maar als Google er voor Android geen OS update voor uitbrengt en het werkt vanaf Android 6, dan zal de nieuwe corona API voor Android het alvast moeten doen met bestaand combinatiegedrag als meerdere Bluetooth applicaties tegelijk actief zijn. Daar werkt iets als kismet/ubertooth prima mee, dus dat zal ook prima blijven werken en alleen maar meer data krijgen van al die corona app communicatie (pogingen).

[Reactie gewijzigd door OruBLMsFrl op 14 april 2020 21:01]

Ok, ik kan me voorstellen dat het veranderen van een connectie-identifier tijdens een sessie problematisch kan zijn, zeker voor applicaties die daar niet op gebouwd zijn. En
mensen die momenteel al Bluetooth gebruiken zijn toch al traceerbaar, dus voor hen voegt randomizeren niets toe.

Maar voor mensen die Bluetooth uitsluitend willen gebruiken voor een corona-app, die wel om kan gaan met wegvallende verbindingen wegens veranderende identifier, zou dit toch geen probleem hoeven te zijn?
Dat klopt ja, de vraag is dan of Android daar altijd al een speciale voorziening voor in de Bluetooth stack had zitten, die zulk gedrag kan toepassen zolang er alleen applicaties actief zijn die geen last hebben van random Bluetooth MAC's. Het klinkt al heel complex om het enkel op te schrijven, dus ga gokken van niet, want bij het Android 6 tijdperk heb ik echt zo'n gevoel van toen was je al blij als je carkit het deed :o
Heh, de ontwikkelaars van Bluetooth zullen waarschijnlijk geen privacy-bestendige pandemie-toepassing in gedachten gehad hebben toen ze de standaard optuigden.

Maar dit werpt wel een drempel op. Het zou ondervangen kunnen worden met juridische maatregelen, om winkelcentra en andere afluisteraars te verbieden nog aan Bluetooth-tracking te doen zolang de Corona-app in gebruik is, maar ik heb er een hard hoofd in dat zoiets er door zou komen. Het is niet eens een discussiepunt.
Volgens mij vat dit het verhaal wel aardig samen:
https://ncase.me/contact-tracing/
Euh nee.
Die data wordt helemaal niet opgeslagen door Google. De API is alleen een doorgeefluik van bepaalde gegevens naar een app. Wat die apps er dan mee doen, dat is wel de vraag. En als zij een centrale database aanmaken zoals je suggereert, ja dat kan - maar met alle commotie erg onlogisch.
Ik vind dit een goed initiatief. In mijn omgeving zijn er meerdere personen die onder de risico groep vallen. Als ik hiermee ze bijtijds kan waarschuwen dat ik in contact ben geweest met iemand die besmet is, gaat dat voor mijn privacy.

En voor de mensen die allemaal zo anti Google zijn, kans is groot dat Google al meer dan voldoende informatie heeft van je. Enige wat ze hiermee meer kunnen krijgen is welke identifiers bij jou in de buurt zijn geweest. Dit kunnen ze waarschijnlijk nu ook al op basis van GPS gegevens.

Tot slot, Google en Apple hebben al aangegeven dat dat een opt-in functie wordt.

[Reactie gewijzigd door JCreations op 14 april 2020 08:26]

Dan vindt je het vast ook goed als 'we' je eet- en beweeggewoonte in kaart brengen. Obesitas neemt ook epische vormen aan.

https://www.gezondheidsra...8/overgewicht-en-obesitas
Je vergelijking gaat scheef. Tools voor overgewicht is voor jezelf. Covid raakt andere mensen.
Het is maar vanuit welk perspectief je het bekijkt.
Tot zo ver ik het weet, zijn er in de recente geschiedenis nog geen shutdows afgekondigd of economien verpletterd door obesitat. Sterker nog, volgens mij draait de halve Amerikaanse voedingsindustrie erop en onze all you can eat horeca. Als we maar ver genoeg blijven redeneren is er altijd wel wat op iets te zeggen.

Feit blijft dat het een goede zaak is dat Google en Apple een API uitrollen waar gebruikers ervoor kunnen kiezen. Nogmaals, het is een opt-in. Ik zal er zelf wel gebruik van maken, waarom? Je kan er onmiddelijk mensen mee helpen en zieken voorkomen.
Het gaat, denk ik, om het (gedeeltelijk) opgeven van privacy t.b.v. de 'goede zaak'. Welke maat wordt er gehanteerd en welke criteria gelden in het kader van het algemeen belang. Ik ben van mening dat deze vorm van inzetten van techniek door een overheid een ongewenste inbreuk op de privacy is en een glijdende schaal naar nog meer toepassingen, vandaar mijn voorbeeld. Ik vertrouw zelf de overheid voor geen cent. Het is een interessante discussie, ik zou het graag zien als onderwerp in een verkiezingscampagne.

Er is een nieuw artikel geplaatst op tweakers daarin wordt het e.e.a goed verwoordt.

nieuws: Wetenschappers waarschuwen in brandbrief voor gevaren van corona-apps
Dat kan je overal wel op zeggen, ook op bijvoorbeeld de stelling 'de politie moet mensen zonder tracing app op straat dood kunnen schieten', dat is ook een kwestie van perspectief.
Totdat de overheid meent dat obisitas aangepakt moet worden om te bezuinigen op zorgkosten, dan krijg je verplichte deling van overgwichtgegevens opgedrongen door overheid en/of zorgverzekeraars.
Als we dan toch zo ver off-topic gaan..

Nee dat krijgen we niet. Het is letterlijk geregeld in de grondwet (artikel 10) dat de overheid dat niet mag. Als de overheid zoiets gaat opdringen dat komen we al heel snel terecht in de persoonlijke sfeer.

Bedrijven kunnen daar in tegen weldegelijk eisen stellen aan bv je gezondheid. Probeer maar is een overlijdensrisico verzekering te regelen. Je moet dan ook een medische enquete invullen en als dat niet volstaat, een medische verklaring laten maken.
beweeggewoonte wordt al lang bijgehouden door o.a. Google Fit, maar ook Google Maps en Facebook. Dat wordt automatisch gedaan via de locatie functie.De mensen die het aan hebben staan weten het vanwege de 'was u op locatie x' of 'beoordeel locatie x' berichten die je krijgt.

Die functie heeft ook netjes een aan/uit knop of de mogelijkheid 'als ik de app gebruik'. Dus ik verwacht ook wel dat de nieuwe functie dezelfde opties zal krijgen.

Maargoed, veel mensen zijn al goed in Ja of Nee zeggen voordat uberhaupt alle ins en outs bekend zijn.

[Reactie gewijzigd door SunnieNL op 14 april 2020 09:14]

Probleem alleen is dat dit niet gaat werken. Het gaat hier dus overigens over een API die gebruikt kan worden door apps, het doet op zichzelf dus helemaal niets. Daar moet dan ook nog bij komen dat men de bluetooth aan moet hebben staan.
teveel punten om het geen zinvol idee te laten zijn.
Ik heb bv mijn bluetooth uit staan (en die blijft uit), ik zal geen app hiervoor installeren (ik installeer sowieso amper al apps, in tegenstelling tot veel mensen die voor elke scheet een app installeren). En dat heeft dan nog niets met privacy te maken waarom ik die troep niet op mijn smartphone wil.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True