Versie van Duitse Corona Warn App zonder Play Services verschijnt via F-Droid

Ontwikkelaars hebben een versie van de Duitse corona-app zonder Google Play Services beschikbaar gemaakt in de F-Droid-softwarewinkel. Onder andere gebruikers van Huawei-toestellen zonder Google Play Services kunnen deze app draaien.

De ontwikkelaars noemen hun fork van de officiële Corona Warn App die in de F-Droid-winkel is verschenen Corona Tracing en versie 1.7.1.2 van de software is beschikbaar gemaakt. De fork maakt gebruik van de MicroG-implementatie van Googles Exposure Notification Framework. MicroG is een in september verschenen vrijesoftwarevariant van Googles Services, waaruit trackingfuncties van Google zijn verwijderd.

De Duitse Corona Warn App is volgens de makers van de fork weliswaar vrije software, maar de werking berust op het Exposure Notification Framework van Google. De Free Software Foundation Europe wijst er op dat de Google-diensten diep in Android geïntegreerd zitten en zo de digitale soevereiniteit van gebruikers ondermijnen: mensen die Google-vrij van Android gebruik willen maken, kunnen de app standaard niet gebruiken.

MicroG maakte dat al wel mogelijk, maar de nieuwe fork met de vervanging van Exposure Notification vereist niet de installatie van MicroG, wat mogelijk een drempel wegneemt voor veel gebruikers. Bovendien wijst de FSFE er op dat er ook gebruikers zijn die wel van Play Services of MicroG gebruikmaken, maar die de voorkeur geven aan F-Droid als downloadwinkel. De organisatie roept de Duitse overheid en de makers van de Corona Warn App op samen te werken om aanpassingen in de officiële software te verwerken.

Corona Warn App

Door Olaf van Miltenburg

Nieuwscoördinator

08-12-2020 • 12:26

59

Reacties (59)

59
56
26
5
0
22
Wijzig sortering
Is het mogelijk (en zinnig) om de Duitse app in Nederland te gebruiken?
Ik meen dat we inmiddels internationaal informatie uitwisselen.
Aangezien al die apps gebruik maken van dezelfde API zou ik verwachten dat ze ook met elkaar kunnen communiceren.
Dus, heeft het zin om de Duitse app in Nederland te gebruiken zolang we zelf geen vrije versie hebben?
(Er even van uitgaande dat je de Duitsers vertrouwt en geen bezwaren hebt tegen het koppelen met een Duitse server).
De versie van België is nagenoeg een kopie van de Duitse versie, maar er zijn een paar land specifieke elementen aan. Als eerste natuurlijk de taal van de app (denk niet dat de Duitse versie in het Vloams beschikbaar is). Ook staan er wat statistieken op de hoofdpagina van de app en kan je je test uitslag tracken.

Het belangrijkste natuurlijk is finaal je test uitslag bekend maken en dit maakt de installatie van de Duitse versie voor een groot stuk nutteloos. Ik neem aan dat de Duitse versie zal kunnen zeggen of je nauw contact hebt gehad met iemand die besmet is, maar je kan zelf niet via de app bekend maken dat je positief bent.
In de Belgische variant moet je de code opgeven die je huisarts meegeeft en (hoewel ik niet uit ervaring spreek want ik heb mij nog niet moeten laten testen) heb ik een zeer sterk vermoeden dat die codes een nationaal iets zijn.
Als iemand die in een grensgebied woont, dit inderdaad. Je kan de codes niet invoeren om de een of andere reden, maar sinds kort werken de landen wel beperkt samen zodat jij wel de notificatie krijgt als iemand anders de code invoert met wie jij voldoende contact hebt gehad (met je telefoon erbij natuurlijk).

Ik vind dit echt fantastisch nieuws overigens, als iemand zonder Google Play op z'n telefoon. Eerder zei de Nederlandse overheid al tegen de security testers "[root/jailbreak toestaan] is een bewuste keuze. Door telefoons met jailbreak af te sluiten, sluiten we een doelgroep uit. Ook biedt [jailbreak] de mogelijkheid te controleren dat de app niks anders is dan de open[code] laat zien." Super dat de overheid dat doorheeft en zo'n standpunt inneemt. Dit is nu welliswaar een andere overheid maar wederom een pluim waard. Wat corona al niet naar voren haalt :)

[Reactie gewijzigd door Lucb1e op 23 juli 2024 03:31]

Er is in EU verband een koppeling gemaakt tussen alle apps, zodat jij ook een melding krijgt als je te lang te dicht bij iemand uit een ander land bent geweest (= 'hoog risico' contact hebt gehad) die in de app van het eigen land doorgeeft besmet te zijn. Je hoeft de Duitse app daarvoor dus niet te gebruiken. Het gaat om het uitwisselen van de unieke codes die per apparaat worden gegenereerd, dus er worden geen persoonsgegevens gedeeld.

Edit: @--Andre-- : Ja dus, door de koppeling worden Duitse app gebruikers (en app gebruikers uit andere EU landen) ook gewaarschuwd als jij je notificatie van besmetting via de CoronaMelder (met hulp van de GGD) doorzet, als zij een hoog risico contact met jou hebben gehad.

[Reactie gewijzigd door Appelsap op 23 juli 2024 03:31]

Ik geloof dat de vraag meer was of je bijvoorbeeld een GGD code in de Duitse app kunt invoeren als je zelf besmet bent, en dat is dus niet mogelijk.
Precies wat @Centurius zegt, dat de koppeling werkt geloof ik wel. Als ik in de NL app een NL code invoer, krijgt iemand met een Duitse app die in de buurt is geweest een melding. Dat is het idee van de koppeling.

Maar of ik als Nederlander de Duitse app in Nederland kan gebruiken, dan moet ik als ik een code van de GGD krijg die wel in de Duitse app kunnen invoeren, anders kan dat dus niet.
NL en DE zijn beide aangesloten op het Europese informatie uitwisselplatform, dus het maakt niet uit welke app je gebruikt om gewaarschuwd te worden.

Enige vraag is, om anderen te waarschuwen als jij het hebt, werkt een code van de GGD dan als je die invoert in de Duitse app, of moet je een code van de Duitse GGD krijgen en invoeren om de waarschuwing te activeren?
Het grootste probleem wat ik voorzie, als je positief getest bent, werken de Nederlandse codes die je van de GGD krijgt in de Duitse app?
Nee: en dat is ook niet nodig.

ALS je je in Nederland laat testen dan kan je je NL codes vrijgeven met behulp van de GGDs (en misschien straks in andere manieren).

Wij uploaden jouw codes naar de EU integratie server (EFGS; https://github.com/eu-federation-gateway-service) op hetzelfde moment dat wij de codes naar alle Nederlanders sturen.

In Duitsland maken zij volgens mij nog een distributie bestand per dag, dus de duitsers moeten wachten op de volgende "batch". Grappig hieraan is dat zij delen hun sleutels vrij meteen met EFGS. Dus het kan zijn dat een Nederlander eerder een melding krijgt van een Duitse besmetting dan een Duitser :-)
ALS je je in Nederland laat testen dan kan je je NL codes vrijgeven met behulp van de GGDs (en misschien straks in andere manieren).
Dat is nou net het hele punt. Kunnen de GGDs dat allen als ik de Nederlandse app gebruik, of kunnen de GGDs dat ook als ik de Duitse app installeer.
De GGD kunnen alleen codes valideren voor Corona Melder. Niet voor de Duitse app. Misschien kan je arts je een code geven voor de Duiste app OBV een positief test verslag van NL.
Nee, dat is net het belangrijkste verschil tussen al die apps. De manier om te verifieren dat je positief hebt getest.
Korte antwoord: nee, want de Duitse app voldoet niet aan de eisen van de NL overheid en alle moeilijke juridische zaken dat wij in Polderland als sport hebben verzonnen :+

Kijk naar België: zij hebben de Duits app overgenomen, maar zij doen helaas nog niet mee met de EU integratie.

En mijn persoonlijke blijk: ons app is een stuk beter dan de Duitse app. Wij hebben het veel zorgvuldiger gemaakt, wij ondersteunen enorm veel talen en zijn hebben eersteklas ondersteuning voor mensen met beperkingen en de laaggeletterd. Ik ben heel trots op wat de team hebben gebouwd.

Het verschil is dat wij met een kleine kern team van zeer goed developers, UI/UX experts, architects ons systeem hebben gebouwd. Dat is pittig (team kennen elkaar niet) maar het heeft toch beter resultaten opgeleverd vergeleken met de app dat de SAP leger hebben gemaakt.

Ik maak vaak de vergelijking met voetbal: de Duits team van arbeiders en de NL team vol top talent met bijbehorende ego's tot de coach toe.
De Nederlandse app heeft wel gigantisch lang geduurd. SAP was al lang klaar, net als China, Singapore en vele, vele anderen.

Duitsland had het WK al in '54 gewonnen, als voetbalvergelijking.
Ik heb begrepen dat de community managers van de corona app van NL ook het Tweakers nieuws af en toe lezen. Zijn er plannen om dit ook voor de NL app te doen?
De minister heeft toegezegd te zullen werken aan het mogelijk maken de app zonder Google of Apple diensten te kunnen gebruiken, na een met algemene stemmen aangenomen motie hierover in de Eerste Kamer.

Hoe het daar op dit moment mee staat weet ik niet.
Gekeken naar DigiD en dergelijke overheids-apps, vrees ik van niet.
Volgens mij zitten de helft van de team op tweakers, wij zijn toch allemaal nerds en Tweakers.net is een top site ;)
volgens mijn het blijft wel API van Google

[Reactie gewijzigd door Telia op 23 juli 2024 03:31]

Nee, het is een API die door de ontwikkelaars van MicroG is gemaakt. Heeft niets met Google te maken. Het is puur een interface tussen een applicatie en bepaalde (in dit geval hardware) functionaliteiten.
In plaats van de API van Google (in Google Play Services) gebruik je de API van MicroG.
Maar dat lijkt me niet helemaal kloppen. De API die wordt gebruikt door deze apps is ontwikkeld door Google en Apple. De ontwikkelaar van MicroG heeft hem waarschijnlijk aangepast, maar ik vermoed dat hij niet de hele API zelf heeft gemaakt.
MicroG is sowieso niet iets wat zelf ontwikkeld is natuurlijk, het is een aanpassing van wat Google ontwikkeld heeft voor mensen die geen Google spul willen maar wel gebruik willen maken van hun ontwikkelingen. Prima dat het er is hoor, maar de API zelf hebben ze niet ontwikkeld.
Bedoel je puur de API of bedoel je dat het data naar Google blijft sturen? Want in het eerste geval zie ik het probleem niet (maar dat is wel wat je schrijft) dus ik weet niet wat je bedoelt.
MicroG is een in september verschenen vrijesoftwarevariant van Googles Services, waaruit trackingfuncties van Google zijn verwijderd.
Dit bestaat toch al langer? MicroG gebruik ik al jaren om aangepaste youtube versies te draaien.
Klopt, ik verwacht nog wel een aanpassing in het artikel, ik wou het net melden, ik denk dat ik niet de enige ben.
Inderdaad, gebruik het al jaren voor YouTube vanced
Jeetje, dit is toch wel schokkend imho, dat een tech-journalist niet eens het fatsoen heeft even op te zoeken waar hij over bericht.
Ik moest effe denken, maar echt nieuwswaardig is de boodschap eigenlijk niet. Men zegt dat de Duitse corona app in f-droid is verschenen, maar dat is het ook. MicroG word hier erbij gehaald alsof het DE component is die dit mogelijk maakt en enkel werkt met de Duitse app, maar dit klopt voor geen meter.

MicroG heeft de exposure api geport naar hun opensource play services. Dit betekend dat ook de Nederlandse en Belgische app ook gewoon kan draaien zonder play services net als de originele Duitse app.

Wat die Duitsers hebben gedaan door hem op f-droid te zetten is hem gewoon wat makkelijker toegankelijk gemaakt voor microG gebruikers. Daarnaast zullen ze waarschijnlijk wel wat andere zaken hebben uitgefilterd/herwerkt om hem f-droid waardig te maken.
Exact. Ik had 1,5 maand geleden de NL versie al draaien op MicroG. Alleen is het noodzakelijk GPS continue aan te hebben staan dus heb hem weer verwijderd. Dat schijnt per telefoonmerk/model te verschillen trouwens. Mijn Samsung Galaxy S9 met LineageOS vereist wel locatie (=GPS aan) om bluetooth-scanning actief te hebben. Ook al doen 'ze' (overheid, andere apps/Google) niets met de locatiedata, het kost hoe dan ook batterij.
Ik vind het wel nieuws(waardig)
Dat is goed nieuws want het was zo sneu dat je moest kiezen tussen privacy en gezondheid.
Ik hoop dat we hier snel ook een Nederlandse versie van krijgen.
Ondertussen ga ik zelf eens kijken naar die MicroG implementatie van het Exposure Notification Framework.
Die API blijft toch van Google? Vraag me af of dit echt wel anoniem is.
Anoniemer zou ik zeggen.

Voor de playstore heb je een Google account nodigt, kortom Google weet precies welke Nederlanders de app hebben geïnstalleerd.

Bij F-Droid is het echt anoniem installeren.
Overigens pro-tip voor apks veilig van Google Play Store afhalen: de Aurora store is een open source implementatie die direct met Google's servers praat, zodat je niet iets als apkmirror hoeft te vertrouwen. De app is in F-Droid te vinden (of los als apk als je dat liever hebt): https://f-droid.org/packages/com.aurora.adroid/
Of je installeert via aurora. Die trekt anoniem de apk vanaf de play store zonder account.
Als een ander dezelfde API implementeert heeft Google daar niks mee te maken. Een API is zeggen van de functie heet zus-en-zo en heeft deze parameters.
Als die functie niet door Google is gemaakt, en niet met Google servers communiceert, heeft Google er niks meer mee te maken.
"en niet met Google servers communiceert"

Is dat echter het geval? Ik meen dat daar wel data verzameld wordt en dat het zonder dat niet werkt, maar tegelijkertijd zijn er ook servers in Luxemburg waar codes worden uitgewisseld dus ik kan er zeker naast zitten.

Als het antwoord 'ja' is dan is dat natuurlijk super, maar overigens ook als het 'nee' is dan ben ik nog altijd blijer met open source code draaien die met Google praat dan met closed source code die dat doet (vergelijkbaar met NewPipe versus de echte YouTube app).

[Reactie gewijzigd door Lucb1e op 23 juli 2024 03:31]

Maar die api zit ingebakken in Android. Dus van Google.
Mooi dat ze dit gemaakt hebben!
Lijkt me een stap in de goede richting.

Zeker gezien het verdienmodel van Google, en hun manieren om zo veel mogelijk data te graaien. Ondertussen wordt de doorsnee Google-gebruiker lekker gemaakt met zogenaamde privacy controls. Maar o-wee wanneer je 1 permissie intrekt: Of de app/dienst werkt niet meer (goed), of je wordt helemaal murw gezeurd door continue vragen of je setting X niet tóch beter zou kunnen inschakelen. Bij mij was destijds de microfoon-permissie van Google Play de druppel. Ja, ik KON het uitschakelen. Maar ik werd gek van die meldingen elke 5 minuten dat "Google Play MOGELIJK suboptimaal werkt".

Dus prima om zulke privacygevoelige apps breder en onafhankelijker te ontwikkelen.
"MicroG is een in september verschenen vrijesoftwarevariant van Googles Services, waaruit trackingfuncties van Google zijn verwijderd."

Dit is niet zozeer MicroG, dat bestaat al jaren, maar de COVID-19 tracking API. Mooi staaltje 'reverse engineering'. Vind het wel erg jammer dat sommigen (lees: politiek) zo hard hameren op open-source zonder echt te weten in hoeverre het dat nu echt geldt. Als een belangrijk aspect alsnog een zwarte doos is, GSF, dan moet je dat niet van de daken schreeuwen. Op deze manier wordt de (schijn)veiligheid die open-source geeft alleen nog maar verwarrender, zeker als je het moet gaan uitleggen aan mensen die de beste mensen op TV/facebook geloven op hun woord.
Je heb geen Play services nodig op iOS. Apple heeft het protocol ook gewoon keurig geïmplementeerd, net als deze knullen gedaan hebben. Het is een open standaard, waar Google weliswaar aan ontwikkeld heeft maar geen data van ontvangt of verwerkt. De enige reden dat er afkeer voor is, is dat Google gekozen heeft de implementatie te verschepen via Play Services wat betekent dat niet alle Android telefoons (met name de Chinese) het framework ondersteunen. Apple heeft het in iOS gestopt en ook uitgebracht voor het oudere iOS 12 om zo bijna alle iPhones te ondersteunen.
Waar dan volgens mij die keuze van Google komt doordat OS updates bij de fabrikanten ligt en deze zijn niet heel goed daarin. De Play Services gaan via de Play Store en die kan Google dus pushen naar praktisch alle Android die er zijn.
Apple heeft het protocol ook gewoon keurig geïmplementeerd, net als deze knullen gedaan hebben.
Is nog wel een verschil of je de code publiceert of enkel het in het geheim nabouwt. Net als met WhatsApp tegenover Signal: WA zegt wel "ja wij doen ook versleuteling" maar je mag eerst de apk uit elkaar gaan peuteren en obfuscated variabelenamen gaan tracken om te kijken of de assembly misschien lijkt op het versleutelingsalgoritme dat het zou moeten zijn, terwijl bij Signal kun je dat gewoon checken en de app vervolgens bouwen (of de reproducible build controleren? Weet niet of Signal dat tegenwoordig ondersteunt). Dat Apple het nagebouwd heeft wil nog niet zeggen dat alles daarom veilig is en niks doet dat je niet wil.

[Reactie gewijzigd door Lucb1e op 23 juli 2024 03:31]

Dat Apple het nagebouwd heeft wil nog niet zeggen dat alles daarom veilig is en niks doet dat je niet wil.
Apple heeft het SAMEN met Google gebouwd. Niets nagebouwd of "in het geheim nagebouwd". De API is door beide bedrijven in samenwerking gebouwd.

De sourcecode van Apple staat ook gewoon op hun website:
https://developer.apple.com/exposure-notification/

Een beetje argwaan is oke maar een heel comment met niet samenhangende "beschuldigingen" en "complotjes" draagt niet echt bij.
Het wordt hier steeds irritanter met al die aluhoedjes. Dat in combinatie met een steeds groter gebrek aan technische kennis (vroeger was niet alles beter, maar de technische kennis van mensen op het Tweakersforum in ieder geval wel) maakt het allemaal behoorlijk vermoeiend.
Ik weet niet welke complottheorie je het over hebt. Ik zeg dat het niet per se veilig is enkel als Apple het bouwt en er geen onafhankelijke audit mogelijk is. Zie alle beveiligingslekken die in iOS gevonden worden ondanks dat het closed source is. Ik raad iedereen aan om de contact tracing apps van hun lokale overheid te installeren en vind het een beetje kut om beschuldigd te worden van complottheorist zijn.

Dat Apple de source code publiceert dat had ik nog niet gehoord, dat is zeker een groot pluspunt! Thanks voor die link :)

[Reactie gewijzigd door Lucb1e op 23 juli 2024 03:31]

Dan moet je bij Apple zijn.
Okay Richard, kalm aan.
Wat wil je precies doordrukken op iOS? MicroG? Dat is niet nodig, er is al niets van Google aanwezig.
Die tracking API heeft ook niet zoveel met Google of Apple te maken, behalve dat ze die hebben ontwikkeld. Zie verzamelen daar geen data mee.
Google pusht de API via Google Play Services omdat ze op die manier de meeste telefoons kunnen bereiken. Hierdoor mis je de telefoons die geen Google services hebben, zoals Huawei tegenwoordig. Bij Apple is dit niet nodig omdat ze zelf de OS updates leveren, met daarbij de API.

Als je het hebt over het toestaan van apps buiten de App store om: dat heeft hier niets mee te maken.

[Reactie gewijzigd door mjz2cool op 23 juli 2024 03:31]

Op dit item kan niet meer gereageerd worden.