(Genug Holz gehackt!)
Ich muss dich leider enttäuschen. Es gibt nichts zu "hacken". Wer meint, irgendwelche nützlichen Information aus der Corona-Warn-App ziehen zu können, der hat entweder fehlendes technisches Verständnis oder ist so sehr in Schwurbelkreisen gefangen, dass er generell nicht mehr für logische Argumente empfänglich ist.
Ich bin heute mit meinem Handy unterwegs gewesen und habe mal mitgelauscht, was über Bluetooth so kommuniziert wird. Natürlich habe ich mich auch für die Daten der Corona-Warn-App interessiert.
Das Schaubild zeigt die Position von Geräten an, die zur Zeit meiner Messung aktiv Bluetooth genutzt haben. Die Position kommt aus einer Zusatz-App. Sie kommt NICHT aus der Corona-Warn-App.
Das Ergebnis war (erwartungsgemäß) ernüchternd.
Insgesamt 90 Geräte (1) hat mein Handy auf dieser Autofahrt "angelauscht".
Davon waren:
28 Apple Geräte
2 IBM oder Logitech Geräte (vermutlich Funkmäuse oder -tastaturen)
4 Microsoft Geräte
1 Nikon Camera
6 Smart TVs von Samsung
2 Generische iBeacon Geräte
1 Sony iBeacon Geräte
Android Geräte waren interessanterweise nicht vertreten. Ist die Reichweite nicht so stark?
Diese Informationen haben mir diese Geräte selber mitgeteilt - ohne das ich etwas machen musste. Es fand also kein "Angriff" von meiner Seite statt.
Bei der Analyse der Daten konnte man gleich optisch zwei Arten von Kommunikation unterscheiden:
Der "normale Datensatz" vom Handy und die "Corona-Warn-App".
Datensatz "normale" Handykommunikation
| id | address | adv_flags | device_name | device_type | first_seen | last_seen | msd_key | msd_field | service_uuids | service_data | days_seen | raw_adv_data |
| 42 | F5:53:C9:*** | Apple | 1592746853 | 1592746859 | 76 | 121900903cc166d056a9f515e4f97* | 1 | X'1EFF4C00121900903CC166D056A9F515E4*****' |
Es ist kein Eigentümername enthalten. Keine Adresse. Keine Koordinaten. Allerdings ein "device_type". Beim Bluetooth Pairing ist das natürlich anders. Hier wird ein Name z.B. "Pauls iPhone" unter Umständen "verraten".
Diese Information hat der Handyhersteller verschickt. NICHT die Corona-Warn-App.
Auf ~65 Geräten(1) war die Corona-Warn-App aktiv. Das erkennt man an der Service UUID "fd6f", mit der diese Bluetooth Impulse verschickt werden.
Datensatz "Corona-Warn-App"
| id | address | adv_flags | device_name | device_type | first_seen | last_seen | msd_key | msd_field | service_uuids | service_data | days_seen | raw_adv_data |
| 2 | 4F:73:B0:*** | 1592704851 | 1592704865 | fd6f | fd6f:42b47bedfd2504c49*** | 1 | X'03036FFD17166FFD42B*****' |
Kein Eigentümername. Keine Adresse. Keine Koordinaten. Selbst der "device_name" fehlt.
Es ist also total nutzlos, die Kommunikation abhören zu wollen. Es werden keine für Normalsterbliche nutzbare Daten übertragen.
Nochmal zum abschreiben:
Was macht die Corona-Warn-App?
- Du installierst die Corona-Warn-App auf deinem Handy.
- Dein Handy sucht nun nach anderen Handys, die die gleiche App installiert haben.
- Wenn du Kontakt hast mit einer anderen Person, dann zeichnen beide Apps diese Begegnung auf.
- Es wird KEIN Name gespeichert.
- Es wird KEINE GPS-Koordinate gespeichert.
- Es wird KEINE Adresse gespeichert.
- Es wird nur eine Zahlenfolge gespeichert, die sich alle paar Minuten ändert. Eine Rückverfolgung ist so nur mit extrem viel Aufwand möglich. [Dir das (entsperrte) Handy aus der Hand zu schlagen, wegzurennen und deine Daten (die sowieso bei Google, Amazon, Facebook, etc. liegen) auszulesen ist viel einfacher!]
- Wenn später einer deiner Kontakte positiv auf das Virus getestet wurde, dann wird zentral auf einem Server die ID des Infizierten hinterlegt. Dein Handy fragt diese IDs einmal pro Tag ab und vergleicht sie mit deinen gespeicherten IDs. NUR DANN bekommst du eine Warnmeldung. Diese Warnmeldung besteht aus einer Risikoabschätzung, wie lange du mit einer Person Kontakt hattest und wie nahe du an der Person dran warst. Die Warnmeldung enthält NICHT den Namen der infizierten Person. Sie enthält NICHT die Position der infizierten Person. Sie enthält KEINE Adresse. Sie gibt dir nur den Rat, dich testen zu lassen.
- Zu keinem Zeitpunkt werden irgendwelche Daten gesammelt - außer der sich regelmäßig ändernden ID.
Jetzt verstanden? Wenn nicht, dann darfst du dich gerne melden.
(1) Die genaue Anzahl der Corona-Warn-App Nutzer kann man nicht definitiv feststellen. Es kann sein, dass ein vor mir fahrendes Auto mehrere Male die ID gewechselt hat. Das zählt dann jedes Mal als ein neuer Kontakt.
