Springe zum Hauptinhalt
t.animal
Anagraphein!
t.animal
Anagraphein!

Blog

Das ist kein Blog. Ich poste hier in unregelmäßigen Abständen Dinge.

am

in Unschönes

Wie ich zu Open Body Tracker kam

"Scratch your own itch" ist der Grund für viel Open Source Software. Mein itch: Ich möchte meinem Körper dabei zusehen, wie ich (jenseits der 30) aus dem Teig gehe. Bzw, wie ich versuche das zu verhindern. Dafür gibt es eine Million Apps, die alle irgendwie sowas heißen wie "Body Tracker".

Eine davon habe ich über zwei Jahre verwendet und habe ganz klassische Dinge erfasst wie:

  • Umfänge (Bauch, Brust, etc.)
  • Hautfaltenmessungen
  • Körperfettwerte
  • und ja, auch Fortschrittsfotos

Das Ganze habe ich ziemlich konsequent durchgezogen - immerhin schon fast zwei Jahre oder so. Denn: Der eigentliche Wert liegt bei diesen Daten ja in der Historie.

Neues Handy, alte Daten

Dann habe ich mir ein neues Smartphone gekauft. Eigentlich ein Routinefall: Daten rüberziehen, fertig.

Nur hat die App, die ich benutzt habe keinen Export für die Fotos. Man bekommt zwar rudimentär die Messwerte exportiert, aber das war es auch.

Also habe ich versucht, die Daten direkt aus dem Handyspeicher zu extrahieren, aber ohne Erfolg. Die app hat jedoch ein "Cloud Synchronisierungs-Feature", das ich nie benutzt habe. Wozu würde ich diese Daten auf ein zweites Handy synchronisieren wollen? Naja, jetzt.

Login mit Google - da dachte ich, die Daten landen in google drive. Ich hätte merken können, dass ich keine Berechtigungen vergebe, aber dachte irgendwie, die Daten landen im (wie ich dachte berechtigungsfreien) app-privaten Speicherbereich von gdrive.

Die Sychronisierung hat auch fast funktioniert. Die Daten waren auf dem neuen Handy. Hurra! Ich wollte anschließend die Daten aus drive löschen. Ging nicht. Meh. Sie waren einfach nicht da. Weder im normalen Google Drive noch im App-spezifischen Bereich.

Also habe ich den Entwickler angeschrieben und die Antwort war überraschend offen:

  • Die Daten liegen gar nicht in Google Drive
  • sondern in Firebase
  • und: Es gibt keine echte Verschlüsselung

Auf Nachfrage wurde das mit „Firebase Encryption at Rest“ begründet. Klingt erstmal solide, heißt aber vereinfacht gesagt:

Der Anbieter schützt die Daten nicht vor sich selbst. Nicht davor, dass ihm sein Zugang abhanden kommt. Nicht vor Fehlkonfiguration, die seinen Bucket offen stehen lässt. Nur davor, dass jemand die Festplatten aus dem Serverraum trägt.

Oder noch klarer: Der Entwickler und potenziell die ganze Welt hätte theoretisch Zugriff auf alle Bilder und Daten aller Nutzer.

Und wir reden hier nicht über Urlaubsfotos.

Schadensbegrenzung mit Nebenwirkungen

Immerhin: Löschen sei möglich, wenn man den Account löscht.

Das Ergebnis:

  • Alle Cloud-Daten weg ☺
  • Alle lokalen Daten auf beiden Geräten… auch weg ☹

Damit war die komplette Historie verschwunden.

Und ehrlich gesagt: Die Motivation, wieder bei null anzufangen (mit einer App, der ich in Sachen Datenschutz nicht mehr traue) war eher überschaubar. Und alle anderen apps waren genauso shady.

Und weil ich mich eh mit AI-assisted development weiterbilden wollte, ist Open Body Tracker entstanden, den man sich bei google play runterladen kann.