Freitag, 30. Juli 2010

Spyware und Viren unter Android und sonstwo

Wie schon mehrfach zuvor kursierten in den letzten Tagen Meldungen über angebliche Spyware unter Android. Wie schon mehrfach zuvor handelte es sich möglicherweise um Halbwahrheiten und Aufgebauschtes. Wie schon mehrfach zuvor scheint die Quelle dieser Meldungen die Firma lookout zu sein, die ihre Sicherheitssoftware für Moblitelefone verkaufen möchte. Nachgeplappert wurde die Meldung trotzdem nahezu überall.
Schön und ausführlich dokumentiert ist dieser Fall bei mobiflip.de; die Lektüre dieses Artikels empfehle ich wärmstens.
Mir kommt das Ganze genauso vor wie die immer wieder von Antivirensoftware-Herstellern herausgegebenen Warnungen vor Viren unter Mac OS X, die leider aus ganz ähnlichen Gründen niemand mehr ernst nimmt.
In beiden Fällen existiert eine theoretische Bedrohung, und es ist nur eine Frage der Zeit, bis sich auch wirklich relevante Fälle mit großem Schadpotential ereignen werden. Vorsicht ist also mehr als angebracht.
Wer aber mit nur theoretisch vorhandenen Bedrohungen versucht, Angst zu schüren, nur um seine Software zu verkaufen, wird die Sicherheitssitaution eher verschlechtern: Die User lernen, dass entsprechende Meldungen nur PR-Gags sind, wiegen sich in trügerischer Sicherheit und achten nicht mehr auf zentrale Vorsichtsmaßnahmen.
Am Beispiel Android sind die Möglichkeiten „böser Jungs“ schön aufzuzeigen:
Auch wenn es meines Wissens bislang nicht in größerem Umfang passiert ist, wäre es doch vermutlich kein Problem, eine Applikation im Android-Market (und an anderen Stellen im Netz) zu platzieren, die neben ihrer angeblichen Tätigkeit noch andere Dinge tut: Adressen ausspähen etwa, oder Verbindungen zu Hacker- oder Spammer-Servern aufbauen, um für Botnetze zur Verfügung zu stehen.
Denn: Google kontrolliert die im Android Market angebotene Software nicht dahingehend. Zwar zeigt jede Anwendung vor der Installation an, welche Rechte sie haben möchte, aber zum einen sind nicht alle schlau genug, die angebotenen Informationen zu verstehen oder lesen sie überhaupt, zum anderen sind die Informationen nicht immer hilfreich.
Wenn etwa eine Applikation vollen Zugriff aufs Internet verlangt, ist es nur logisch, dass sie das benötigt, wenn es etwa eine Internetradio-Applikation wäre. Wozu die Möglichkeiten einer Internetverbindung sonst noch genutzt werden, ist nicht klar (und kann mit vernüftigem Aufwand auch nicht näher eingegrenzt werden). Und dabei muss es noch nicht einmal Internetradio sein: Jede werbefinanzierte App braucht Internetzugriff für die Werbung, und davon gibt es viele.
Eindeutiger sind da schon Zugriffsberechtigungen auf Kontakte und Kalender. Leider ignorieren viele User die gegebenen Informationen schlichtweg.
In Kommentaren zu Apps werden solcherlei Seltsamkeiten meist recht schnell publiziert. Aber auch die muss man erstmal lesen.
Beim iPhone ist alles besser? Mitnichten. Zumindest bis iPhone OS 3.1.3, das ich noch benutzt habe, gab es dort nicht einmal die Möglichkeit, überhaupt herauszufinden, was eine App so alles machen will. Lediglich die völlig ungefährliche Möglichkeit, Push-Nachrichten zu empfangen war einschränkbar. Ein Kommentar beim obigen Mobiflip-Artikel impliziert für iOS 4 jetzt Anderes, aber selbst gesehen habe ich das bisher nicht, nicht einmal darüber gelesen.
Update: Man konnte und vmtl. kann einer App auf dem iPhone den Zugriff aufs GPS verweigern, daran hatte ich nicht mehr gedacht. Früher gab es keinerlei Zugriff auf den Kalender für Drittanbieter-Apps, dafür durfte jede App ungefragt Kontaktdaten lesen und verändern. Seit iOS 4 gibt es auch eine API für den Kalender – von einer möglichen Einschränkung durch den User oder zumindest einem Hinweis, wenn Apps auf solche Daten zugreifen können, habe ich noch nichts gehört.
Immerhin prüft Apple alle Applikationen, die im AppStore landen, vor Veröffentlichung, unter anderem auch auf solche Gefahrenpotentiale. Wer das wirklich will, kann solche Aktionen aber auch verschleiern. Und zudem hat es Apple bei seiner Prüfung seinerzeit nicht einmal als besorgniserregend empfunden, als diverse Applikationen die Handynummern aller Nutzer an ihre Entwickler übertrugen. Dass via PinchMedia werbefinanzierte iPhone-Apps oft routinemäßig den Standort des Users sammelten und auswerteten, war nur ganz kurz ein Aufreger. Inzwischen scheint das niemanden mehr zu kümmern. Siehe zu dem Thema auch diesen Artikel.

Ob am Mac oder unter Android, am iPhone oder unter Windows: Ein bisschen gesunden Menschenverstand sollte man schon einsetzen, wenn man internetfähige Geräte benutzt. Dazu gehört zum Beispiel, Mailanhänge von unbekannten Absendern nicht zu öffnen, nicht auf Links in dubiosen Mails zu klicken und keine gecrackte Software aus dunklen Quellen zu benutzen. Aber eben auch, sich zuallermindest über die direkt augenfällig verfügbaren Quellen über die Software zu informieren, die man auf dem Smartphone installiert.
Absolute Sicherheit ist so nicht zu erreichen, aber die gibt es auch auf keinem anderen Weg. Immerhin reduziert man so aber die Chance, sich übelwollende Software einzufangen, sehr deutlich.

Freitag, 16. Juli 2010

Ach ja, die Homöopathie …

Da haben wir also das diesjährige Sommerlochthema: Homöopathie! Wie üblich bei solchen Aufhängern in der nachrichtenarmen Zeit wird ungeheuer viel Lärm um fast nichts gemacht, manch Richtiges, manch Falsches und eine Menge Halbwahrheiten verbreitet.
Hier einige Beispiele:
„Die gesetzlichen Krankenkassen müssen derzeit homöopathische Mittel und Behandlungen bezahlen.“ Das ist falsch. Die Kassen dürfen Homöopathie in ihren Leistungskatalog aufnehmen, wenn sie wollen. Die meisten tun das nicht. Entsprechend gering sind die Gesamtkosten der Homöopathie für das Gesundheitssystem.
„Homöopathie ist billig.“ Das ist ebenfalls falsch oder zumindest nicht ganz richtig. Zwar sind homöopatische Mittel fast immer günstiger als die Produkte der klassischen Medizin, aber der Arztbesuch beim Homöopathen kostet normalerweise mehr.
„Homöopathie wirkt nicht.“ Das ist, je nach Betrachtungsweise, falsch oder eine Halbwahrheit. Falsch, wenn man die in jedem Fall vorhandene Placebo-Wirkung mit einbezieht. Eine Halbwahrheit, wenn man Placebo-Wirkung nicht betrachten will und sich nur die Studien ansieht: Für die meisten Krankheiten wurde der Homöopathie in wissenschaftlichen Studien tatsächlich nur eine Wirkung attestiert, die nicht über die Gabe eines Placebos hinausgeht. Es gibt aber einzelne Symptome, bei denen in Studien von „Hinweisen auf eine mögliche Wirkung“ die Rede ist, zum Beispiel Migräne.
Und so weiter.

Ein vermutlich wichtiger Punkt in der „Wirkungsweise“ der Homöopathie wird aber oft vernachlässigt: Der Care-Effekt. Er wird häufig zur Erklärung herangezogen, wenn homöopathische Mittel bei Tieren wirken, bei denen ein Glaube an die Wirkung des Mittels ja recht unwahrscheinlich ist. Dabei wird davon ausgegangen, dass die Zuwendung, das Sich-um-den-Patienten-Kümmern, eine positive psychische Wirkung hat, die wiederum die Heilung begünstigt.
Das gleiche Prinzip könnte auf die Homöopathie zutreffen: Aufgrund der komplexen und umfangreichen Anamnese, die bei der Homöopathie üblich ist, verbringen Homöopathen üblicherweise wesentlich mehr Zeit mit ihren Patienten als Haus- und selbst Fachärzte. Daraus ergibt sich möglicherweise eine deutlich messbare positive Beeinflussung des Krankheitsverlaufs.
In diesem Zusammenhang wäre es natürlich interessant, in einer Studie klassische und homöopathische ärztliche Behandlungen statt nur Medikamente miteinander zu vergleichen. Damit spreche ich den üblichen, reinen Medikamentenvergleichsstudien ihre Relevanz nicht ab: Homöopathen behaupten sie heilten mit ihren Mitteln, nicht mit ihrer Zuwendung, also müssen auch die Mittel wissenschaftlich überprüft werden.
Trotzdem könnte der tatsächliche Behandlungserfolg homöopathischer Ärzte deutlich über dem liegen, was die Medikamentenstudien nahelegen – weil es eben nicht die bis ins Nichts potenzierten „Wirkstoffe“ sind, die heilen.

So oder so: Persönlich befürworte ich die freiwillige Bezahlung homöopathischer Behandlungen durch einzelne Krankenkassen. Das liegt vor allem daran, dass man meiner Meinung nach viel mehr auf die Selbstheilungsfähigkeiten des Körpers vertrauen sollte, statt beim kleinsten Anzeichen von Unwohlsein Chemie in sich hineinzuschütten.
Selbst wenn die Homöopathie nichts als nur Placebo- und Care-Effekt für sich verbuchen kann, so hilft sie doch dabei, unnötigen Medikamentenkonsum zu reduzieren.
Und wer es nicht über sich bringt, die homöopathische Behandlung Anderer durch seine Beiträge mitzufinanzieren, muss sich nur eine Kasse suchen, die diese Leistung nicht anbietet.

Montag, 5. Juli 2010

waze: Neue Wege bei der Navigation

In meinem Post über Navigation unter Android hatte ich es schon kurz erwähnt: waze.
Mittlerweile nutze ich das System seit langer Zeit regelmäßig, und es wird Zeit, etwas darüber zu schreiben, zumal waze gerade in Deutschland noch relativ unbekannt ist.
Fangen wir von vorne an:

Was ist waze?
waze ist ein Navigationssystem. Es handelt sich dabei um eine Offboard-Lösung; Routen werden also auf einem Server berechnet und die nötigen Karten für die Route vom Server heruntergeladen. Sie werden zwar zwischengespeichert und, falls man keine Routen berechnet, erst 7-10 Tage später aktualisiert, für den Einsatz im Ausland ohne SIM-Karte von dort eignet sich das System aber nicht, solange Daten-Roaming so teuer bleibt.

Was sind die Besonderheiten von waze?
waze arbeitet mit nutzergenerierten Karten (jedenfalls zum Teil, siehe unten). Jeder User kann sie mit Hilfe eines webbasierten Editors verändern, sofern er schon einmal mit waze in der Gegend unterwegs war. Außerdem kann Jeder ein sogenannter Area Manager werden, was zusätzliche Rechte freischaltet.
Zusätzlich zum direkten Editieren trägt jeder User mit den Strecken, die er fährt, zur Verbesserung der Karte bei. Zum einen ändert sich mit der Zeit die Position von Straßen, die „knapp daneben“ angelegt wurden, zum anderen werden die Durchschnittsgeschwindigkeiten für die aktuelle Zeit-Wochentags-Kombination und ggfs. Abbiegeverbote, Einordnung einer Straße als Einbahnstraße etc. automatisch angepasst.
Dazu kommen noch Live-Verkehrsdaten. Steckt ein Wazer im Stau, wird das vom System erkannt, und andere werden um das Hindernis herumnavigiert. Zudem kann man direkt im Client bestimmte Daten melden, etwa einen Unfall, eine andere Gefahrensituation oder auch einen Blitzer. Andere Wazer werden entsprechend vorgewarnt.
Einen waze-Client gibt es für viele Smartphone-Betriebssysteme, etwa für Android und iOS, aber auch für Symbian, Windows Mobile und Blackberry.

Ist waze ein vollwertiges Navigationssystem?
Nein, in Deutschland derzeit noch nicht.
Die Kartendaten sind noch sehr unvollständig, und mit sehr meine ich wirklich sehr. Zwar wurde hier vor einiger Zeit eine Base Map installiert, d. h. einige Jahre altes Kartenmaterial eines kommerziellen Anbieters wurde gekauft und auf die waze-Server aufgespielt.
Das bedeutet aber nur, dass die meisten Straßen grundsätzlich vorhanden sind. Es gibt keine Daten zu Einbahnstraßen, Befahrbarkeit und Einfahrtserlaubnis mit einem normalen Auto (es sind auch viele Feldwege dabei), Abbiegeverboten etc., nicht einmal Straßen- oder Ortsnamen sind enthalten.
Alle Straßen aus der Base Map, auf denen noch nie ein Wazer gefahren ist (vor allem auf dem Land derzeit noch fast alle), sind zunächst als „No Entry“ gekennzeichnet. Der Routing-Algorithmus benutzt diese Straßen zwar trotzdem, wenn es keinen anderen Weg zum Ziel gibt, aber häufig kommen abenteuerliche Umwege oder Routen über nicht für den Autoverkehr freigegebene Straßen zustande.
Das Ziel anhand der Adresse zu suchen funktioniert entsprechend in den meisten Fällen auch noch nicht.

Wofür ist waze dann gut?
Zunächst einmal hat es ungeheures Potential. Mit entsprechend breiter User Base wäre waze sicher das beste erhältliche Navigationssystem. Davon sind wir momentan aber natürlich noch weit entfernt.
Aktuell macht es vor allem Spaß, und Sinn macht es für regelmäßige Strecken wie den Weg zur Arbeit.
Letztlich tut es fast genau das, was ich in einen Routenplaner hineinprogrammieren wollte.
  • Es verlässt sich wo immer möglich nicht auf allgemeine Durchschnittsgeschwindigkeiten für einen Straßentyp, sondern auf tatsächlich gemessene auf dieser Straße. Dadurch gehört die extreme Autobahnlastigkeit vieler Navigationssysteme der Vergangenheit an.
  • Vieles geschieht automatisch einfach durch Auswertung der Routen der User. (Sowas finde ich immer sehr faszinierend. :-) )
  • Es bietet, sofern vorhanden, mehrere mögliche Routen an.
  • Es ist völlig kostenlos und (noch?) werbefrei. (Zur Finanzierung unten mehr.)
  • Es macht Spaß, bei einem Mapping-Projekt in einem so frühen Stadium mitzumachen. Fast ein bisschen wie Open Streetmap früher, nur einfacher.
  • Die Community ist sehr nett, der Support gut.
  • Du willst den besten Weg zur Arbeit finden? Fahre einfach alle Alternativstrecken regelmäßig mit waze ab. Nach einiger Zeit kannst Du Dir vom System sagen lassen, was die beste ist. :-) (Zur Zeit kannst Du noch nicht davon ausgehen, dass Andere das vor Dir bereits gemacht haben.)
  • Die Karte enthälr Fehler? Kein Problem: Behebe sie direkt selbst in der Karte, und einige Zeit später wird das auch in den Routen Berücksichtigung finden.

Datenschutz? Open Source?
waze ist kostenlos und derzeit werbefrei, aber in zentralen Bereichen (Server) nicht quelloffen. Open Source sind allerdings sämtliche mobilen Clients.
Das Finanzierungsmodell sieht so aus: Das durch die User erstellte und immer aktuell gehaltene Kartenmaterial darf von den Usern selbst zu nicht-kommerziellen Zwecken innerhalb von waze unbegrenzt kostenlos benutzt werden. Die Kartendaten gehören aber waze, und zu gegebener Zeit wollen sie sie verkaufen.
Mit anderen Worten: Du schenkst Deine Kartenedits und Deine Routendaten der Firma, dafür stellen sie die Server hin, betreiben sie, programmieren die Software und geben Support.
Ob das ein fairer Handel ist, muss jeder selbst wissen – ich finde es ok.
Werbung wird es evtl. in Zukunft geben, jedenfalls ist das in der Privacy Policy so angegeben. Noch ist davon aber nichts zu sehen.
Diesem System entsprechend ist natürlich auch das Hochladen der Routen nicht abschaltbar, und der mobile waze-Client kann nur benutzt werden, wenn man einen User im waze-System anlegt. (Disclaimer: Ich habs nie anders probiert, aber ich denke, dass es ohne User nicht geht. Falls das jemand besser weiß, bitte kommentieren!)
Nur so kann die Bearbeitung der Karte in den selbst befahrenen Bereichen freigeschalten werden. (Die eigenen Routen kann man sich übrigens jederzeit auch als GPX-Dateien herunterladen.)
Das bedeutet, dass die Firma waze natürlich ein beträchtliches Wissen darüber erhält, wann und wohin ich mit dem Auto gefahren bin, während ich waze aktiviert hatte – und dieses Wissen ist eben nicht anonymisiert, sondern kann direkt mir als Wazer zugeordnet werden. Natürlich will waze diese Daten nicht an Dritte weitergeben, aber ebenso üblich dann doch, wenn der Staat es verlangt. Und was bei einem Verkauf oder einer Insolvenz passiert, steht natürlich noch einmal auf einem anderen Blatt.
Für Paranoideren unter uns also sicher keine Option. Ich persönlich habe mich aber entschlossen, das Risiko einzugehen.
Grundsätzlich könnte man vmtl. die Quellen für den Client hernehmen und das Hochladen der Routen verhindern. Beim derzeitigen Stand der Karte würde das aber nicht viel Sinn ergeben, da ohne eigene Beiträge auch durch gefahrene Routen in den meisten Fällen kein sinnvolles Routing-Ergebnis zu erzielen ist.
Ob man mit seiner aktuellen Position auf der Live Map im Netz und für andere Wazer unterwegs zu sehen ist (mit oder ohne Nick), ist im Client einstellbar. Auch kann man „pingbar“ sein oder nicht, d.h. für Chats unterwegs offen sein. Wie man außerhalb eines Staus aber mit einem Handy chatten soll, ohne den Verkehr zu gefährden, ist mir ein Rätsel. (Außer man ist Beifahrer. :-) )

Nachteile
Als erstes ist hier natürlich der Stand der Karte zu nennen. Durch fleißiges Editieren wird der aber sicher schnell besser werden, zumal waze momentan recht sprunghaft immer populärer wird.
Außerdem ist das Editieren der Karte mit „Cartouche“, dem Web-Editor, nicht immer ein Genuss. Manche Funktionen haben Bugs, und das Tempo lässt zuweilen deutlich zu wünschen übrig.
Bedingt durch die nicht immer exakten GPS-Daten der Mobiltelefone, aber auch teils durch nicht korrektes Kartenmaterial, muss man zuweilen die gefahrenen Routen noch einmal überprüfen und mit einigen Edits nachhelfen, damit die Strecke tatsächlich als passierbar gekennzeichnet wird. Dabei ist das System von Connectivity (von Straßenabschnitt A nach Straßenabschnitt B darf geroutet werden) und Abbiegeverboten nicht auf Anhieb schlüssig.
Wer schlecht im Kartenlesen ist, wird beim Editieren momentan kaum glücklich werden. Da die meisten Straßen und viele Orte nicht benannt sind, ist es oft nicht ganz einfach herauszufinden, welches Gebiet man momentan überhaupt auf dem Schirm hat.
Nervig ist außerdem die Unterteilung in www.waze.com (USA) und world.waze.com (Rest der Welt). Vor allem durch Links ins Forum aus Update-Mails zu abonnierten Threads landet man immer wieder auf www.waze.com und wundert sich dann beim Wechsel auf Karte und Editor, dass man sich nicht einloggen kann oder Kartenmaterial von ganz weit weg angezeigt bekommt.
Außerdem scheinen sich Cookies von Forum und sonstiger Site gegenseitig zu stören, so dass man sich immer wieder neu einloggen muss, auch wenn man das per Häkchen anders wollte. Besonders nervig im Forum, das keinen Login-Link hat – man muss erst eine Mitgliedern vorbehaltene Funktion aufrufen, um zum Einloggen gezwungen zu werden.
Stellenweise wirkt waze ein wenig zusammengestöpselt. So ist es am Anfang schwierig, sich in Cartouche einzufinden und die nötigen Informationen aus Wiki und Forum herauszufiltern. Erfahrung mit Open Streetmap kann hier hilfreich sein. Einige für mich wichtige Informationen (wie zum Beispiel die Frage, ob waze mit zeitabhängigen Geschwindigkeitsprofilen für die Straßen arbeitet) wurden mir erst durch einen waze-Mitarbeiter im Forum beantwortet, an offiziellerer Stelle waren sie nicht zu finden.
Das macht letztlich aber auch ein Stück weit den Charme des Projekts aus: Man merkt, dass das kein großes Unternehmen ist, sondern ein Haufen junger Entwickler mit einer Vision.

Sonstige Kurzinfos
  • Wer Twitter oder Foursquare benutzt, kann sie im Client einbinden. (Wie genau weiß ich nicht, da ich beide Dienste nicht nutze.)
  • Die neueste Beta der Telefon-Clients ist immer im Forum zu finden und bietet oft mehr als die offiziell freigegebene Version.
  • waze arbeitet mit Vektordaten für die Karte, die im Client gerendert werden. Dadurch bleibt die Datennutzung trotz der vielen Live-Daten relativ gering (ein paar hundert Kilobytes bei einer 50km-Strecke).
  • Man kann durch Aufzeichnen nicht vorhandener Straßen (sehr viele Punkte), Befahren bislang unbefahrener, aber bekannter Straßen (relativ viele Punkte), Befahren bekannter Straßen (wenige Punkte), Setzen von Markern für Blitzer usw., Edits und evtl. Forum-Posts (?) Punkte sammeln, die in ein User-Ranking einfließen.
  • Es gibt „Road Goodies“, normalerweise Törtchen auf bislang unbefahrenen Straßen, deren Einsammeln zusätzliche Punkte bringt. Außerdem laufen immer wieder Wettbewerbe (wo die Goodies dann inzwischen auf schon bekannten Straßen liegen, um die Einsammelbarkeit zu garantieren), bei denen es etwas zu gewinnen gibt, zur Zeit etwa der waze World Cup, bei dem man Fußbälle einsammeln muss. (Deutschland liegt nicht schlecht und ist ins Halbfinale gekommen! Schnell anmelden und mithelfen! ;-) )
  • Wer nach einigem Herumprobieren Spaß an der Sache gefunden hat, sollte sich am besten gleich als Area Manager eintragen lassen (so wie ich). Momentan sind die in Deutschland noch recht dünn gesät und teils für riesige Areale verantwortlich. Somit kann man sich kaum gegenseitig auf die Füße treten. Erst dadurch erhält man volle Rechte beim Editieren (etwa zum Löschen von Straßen). Und dass man viel Verpflichtung eingehen würde, braucht man auch nicht zu fürchten – jeder macht eben das, was er schafft und wofür er Zeit hat.

Fazit
Für mich ist waze ein hochinteressantes System mit richtig viel Potential. Auch wenn es momentan wegen des frühen Stadiums nur eingeschränkt nutzbar ist, möchte ich eine klare Empfehlung aussprechen.
Das Konzept ist klasse, und es macht Spaß, die eigene Region nach und nach auf der Karte entstehen zu sehen.
Für jeden, der Spaß an Navigationstechnik und Karten hat, ein absolutes Must-Have – und in ein paar Jahren dann hoffentlich für alle Anderen auch.