Hacker fanden in der Luca-App fremden Code, dessen Urheberhinweise entfernt worden waren. Die Luca-App-Macher haben nun nachgebessert und ihren Fehler eingestanden.
Wir haben die Entwickler der Luca-App um eine Stellungnahme zu den Vorwürfen von Zerforschung (siehe unten die ursprüngliche Meldung) gebeten. Diese Stellungnahme erhielten wir prompt. Wir geben Sie in vollem Wortlaut wieder:
"Open Source des luca Systems: Stellungnahme z85 QR Code Codierung Der Beginn der Veröffentlichung des Source Code war für den 31.3. geplant. Bereits am 30.3 wurde mit der Android App die erste Komponente auf Gitlab veröffentlicht. Erste Personen haben sich schon vor Bekanntgabe gestern in unser Projekt eingelesen. Die gesamte Veröffentlichung - auch der folgenden Bausteine wie Frontend und Backend - unterliegt der sehr offenen GPLv3 Lizenz. Interessierte aus der Open Source Community haben direkt einen ersten Fehler gefunden. Bei der Konvertierung/Encodierung Routine des QR Codes, wurde ein Baustein eines Open Source Projektes verwendet, der nicht hinreichend referenziert war. Dies haben wir umgehend korrigiert. Durch die starke Verteilung von Code in verschiedenen öffentlichen Projekten unter diversen Lizenzen und durch automatische Refactoring Tools können solche Lizenzkommentare in der Praxis verloren gehen. Um es klar zu sagen: Wir haben einen Referenzierungsfehler gemacht, für den wir uns beim Autor und der Open Source Community entschuldigen! Gesundheitsämter, Epidemiologen und Virologen sprechen sich für die Einführung von luca aus. Deswegen laden wir die Open Source Community mit einer sehr offenen Lizenze ein, sich konstruktiv an der Weiterentwicklung von luca zu beteiligen." Zitat Ende
Die Hacker von Zerforschung haben den Quellcode der Luca-App unter die Lupe genommen. Sie kommen zu dem vernichtenden Fazit, dass die Luca-Macher den Quellcode für die Luca-App teilweise geklaut hätten : Die Luca-Entwickler hätten „den Open-Source-Code (BSD-Lizenz) einfach übernommen. Außer dem Entfernen von Lizenzhinweisen/Kommentaren und Whitespaceänderungen wurde nichts geändert. Damit wurde vermutlich gegen dessen Lizenz verstoßen.“
Ein entsprechender Vergleich von Screenshots des Originalcodes und des Luca-Codes soll zeigen, dass die Luca-Macher, also die Culture4Life GmbH, nur alle Lizenzbestimmungen aus dem Code entfernt hätten, den eigentlichen Algorithmus aber 1:1 übernommen hätten. Sofern die Kritik zutrifft, wurden also Steuergelder für eine Software ausgegeben, die zumindest teilweise aus gestohlenem Code beziehungsweise aus Code von Dritten besteht, ohne dass auf deren Urheberschaft hingewiesen wurde.
Für die veröffentlichten Lizenzbedingungen hatten die Zerforschung-Hacker zuvor schon nur eine vernichtende Kritik übrig: Die „schlimmste Lizenz, die wir seit Langem gelesen haben. Nur Betrachtung, keine Veränderung, keine Mirrors, etc“. Zerforschung interpretiert die Lizenzbestimmungen so, dass sie den Code eigentlich nicht untersuchen können und keine Codeschnipsel daraus zeigen dürfen. Letzteres ist aber zur Dokumentation zwingend erforderlich. Zerforschung stört sich zudem daran, dass die Luca-Entwickler jederzeit die Lizenz widerrufen können.
Zerforschung hat mittlerweile festgestellt, dass die Lizenzbestimmungen zu GNU General Public License v3.0 GPLv3 geändert wurden und zudem die Luca-Entwickler nun bei einigen Dateien die bisher fehlenden Lizenzhinweise nachgetragen hätten, beispielsweise hier.
Die Hacker von Erforschung twittern ihre Ergebnisse fortlaufend, sie können ihnen hier auf Twitter folgen .
Luca-App: Die Einschätzung der Experten
Brauche ich die neue Luca-App? FAQ mit allen Antworten
Hinter den Kulissen des Luca-Systems: Entwickler erklären ihr Konzept
Leave a comment