Wahr

Bewertung: 8.5/10

Problem melden
Coalition
C0195

Die Behauptung

“Ignorierte Sicherheits-Best-Practices bei der Bereitstellung der COVIDSafe-App, entschied sich gegen ein Bug-Bounty-Programm und gegen die zeitnahe Veröffentlichung des Quellcodes, trotz Zusagen dazu, was dazu führte, dass mehrere Schwachstellen von Forschern viel später entdeckt wurden, als sie hätten sein sollen.”
COVID Cybersicherheit Technologie
Originalquelle: Matthew Davis

Originalquellen

FAKTENÜBERPRÜFUNG

Die Behauptung, dass die australische Regierung Sicherheits-Best-Practices bei der COVIDSafe-App ignoriert hat, ist **im Wesentlichen zutreffend**, erfordert jedoch wichtige Klarstellungen bezüglich des Zeitpunkts und des Kontexts. **Verzögerte Reaktion auf Schwachstellen:** Innerhalb weniger Stunden nach der Veröffentlichung von COVIDSafe am 26.
The claim that the Australian government ignored security best practices with the COVIDSafe app is **substantially accurate**, though it requires important clarification regarding timing and context. **Delayed Response to Vulnerabilities:** Within hours of COVIDSafe's release on April 26, 2020, security researcher Jim Mussared discovered multiple privacy issues in the Android version by 1:19am on April 27 [1].
 April 2020 entdeckte der Sicherheitsforscher Jim Mussared mehrere Datenschutzprobleme in der Android-Version bereits um 1:19 Uhr am 27.
He detailed these vulnerabilities in a comprehensive report and emailed the Department of Health, Digital Transformation Agency (DTA), Australian Signals Directorate (ASD), and the Australian Cyber Security Centre (ACSC) on April 27-28 [1].
 April [1].
However, Mussared only received a single-line response from the DTA a week later on May 5, and this response came only after media began making inquiries [1].
 Er beschrieb diese Schwachstellen in einem umfassenden Bericht und sendete E-Mails an das Gesundheitsministerium, die Digital Transformation Agency (DTA), den Australian Signals Directorate (ASD) und das Australian Cyber Security Centre (ACSC) am 27.-28.
In comparison, Mussared confirmed that he was able to reach Singapore's team (which developed TraceTogether, the app Australia modeled COVIDSafe on) within hours and had some issues fixed by them [1]. **No Formal Bug Bounty Program:** The government did not establish a formal bug bounty program for COVIDSafe.
 April [1].
According to cybersecurity experts quoted in authoritative sources, "the best practices would be a formal disclosure program and a bug bounty program, and a commitment to getting the bugs fixed" [1].
 Mussared erhielt jedoch erst eine Woche später am 5.
This represents a significant departure from best practices.
 Mai eine einzeilige Antwort von der DTA, und diese kam erst, nachdem die Medien begannen, Nachforschungen anzustellen [1].
For comparison, the UK government's approach to its NHS COVID-19 app included more structured vulnerability disclosure processes [1]. **Delayed Source Code Publication:** While Australia eventually released source code (app code was published on April 28, 2020), there were significant delays and transparency issues [1].
 Im Vergleich dazu konnte Mussared bestätigen, dass er das Team von Singapur (das TraceTogether entwickelte, die App, auf die Australien COVIDSafe modellierte) innerhalb weniger Stunden erreichte und einige Probleme von ihnen beheben lassen konnte [1]. **Kein formelles Bug-Bounty-Programm:** Die Regierung richtete kein formelles Bug-Bounty-Programm für COVIDSafe ein.
Cryptographer Dr.
 Laut Zitaten von Cybersicherheitsexperten in maßgeblichen Quellen wären „die Best Practices ein formelles Offenlegungsprogramm und ein Bug-Bounty-Programm sowie eine Zusage, die Fehler zu beheben“ [1].
Vanessa Teague noted that "Singapore released app and server code weeks ago" while "Aus & the UK released app code, and no server code, within the last 24 hours" [1].
 Dies stellt eine erhebliche Abkehr von Best Practices dar.
Critically, Australia only released application code—not the server code where "the server does all the crypto" [1].
 Zum Vergleich: Der Ansatz der britischen Regierung für ihre NHS COVID-19-App beinhaltete strukturiertere Verfahren zur Offenlegung von Schwachstellen [1]. **Verzögerte Veröffentlichung des Quellcodes:** Während Australien schließlich Quellcode veröffentlichte (der App-Code wurde am 28.
The government also failed to publish whitepapers explaining the cryptographic design and security assumptions, unlike Singapore and the UK [1]. **Multiple Vulnerabilities Discovered Over Time:** Researchers identified at least four major vulnerabilities in COVIDSafe that were discovered at different times throughout 2020 [2]: - A bug in how COVIDSafe reads Bluetooth messages on iPhones, causing some encrypted messages to be garbled [2] - CVE-2020-14292: A vulnerability allowing long-term tracking of Android devices [2] - CVE-2020-12856: A flaw affecting Android versions 1.0.17 and earlier, allowing attackers to bond silently with Android phones [2] - A critical concurrency flaw in encryption code (versions 1.0.18 to 1.0.27) where a single Cipher instance was shared across threads without synchronization [2] These were not all discovered simultaneously, but rather identified as researchers examined the code over weeks and months [2]. **Lack of Engagement with Research Community:** The government did not adequately engage with researchers raising concerns.
 April 2020 veröffentlicht), gab es erhebliche Verzögerungen und Transparenzprobleme [1].
Dr.
 Die Kryptografin Dr.
Vanessa Teague and colleagues reported problems with the application, but communication was difficult [1].
 Vanessa Teague merkte an, dass „Singapur App- und Servercode vor Wochen veröffentlicht hat“, während „Australien und das UK den App-Code und keinen Servercode innerhalb der letzten 24 Stunden veröffentlicht haben“ [1].
The Australian Digital Transformation Agency only published an email address where researchers "could provide feedback" rather than establishing a formal, responsive vulnerability disclosure program [1].
 Entscheidend ist, dass Australien nur Anwendungscode veröffentlichte nicht den Servercode, wo „der Server die gesamte Kryptografie durchführt“ [1].
Die Regierung veröffentlichte auch keine Whitepapers, die das kryptografische Design und die Sicherheitsannahmen erklärten, im Gegensatz zu Singapur und dem UK [1]. **Mehrere Schwachstellen im Laufe der Zeit entdeckt:** Forscher identifizierten mindestens vier große Schwachstellen in COVIDSafe, die zu verschiedenen Zeitpunkten im Jahr 2020 entdeckt wurden [2]: - Ein Fehler bei der Art und Weise, wie COVIDSafe Bluetooth-Nachrichten auf iPhones liest, wodurch einige verschlüsselte Nachrichten unleserlich wurden [2] - CVE-2020-14292: Eine Schwachstelle, die eine Langzeitverfolgung von Android-Geräten ermöglichte [2] - CVE-2020-12856: Ein Fehler, der Android-Versionen 1.0.17 und früher betraf und es Angreifern ermöglichte, sich unbemerkt mit Android-Telefonen zu koppeln [2] - Ein kritischer Parallelitätsfehler im Verschlüsselungscode (Versionen 1.0.18 bis 1.0.27), bei dem eine einzelne Cipher-Instanz über Threads hinweg ohne Synchronisierung geteilt wurde [2] Diese wurden nicht alle gleichzeitig entdeckt, sondern wurden identifiziert, als Forscher den Code über Wochen und Monate untersuchten [2]. **Mangelnde Einbindung der Forschungsgemeinschaft:** Die Regierung bindete Forscher, die Bedenken äußerten, nicht angemessen ein.
Dr.
Vanessa Teague und Kollegen berichteten über Probleme mit der Anwendung, aber die Kommunikation war schwierig [1].
Die Australian Digital Transformation Agency veröffentlichte nur eine E-Mail-Adresse, unter der Forscher „Feedback geben könnten“, anstatt ein formelles, reaktionsfähiges Verfahren zur Offenlegung von Schwachstellen einzurichten [1].

Fehlender Kontext

Die Behauptung erfordert jedoch einen erheblichen Kontext, der die Interpretation beeinflusst: **Überstürzter Zeitplan und Pandemie-Reaktion:** Die COVIDSafe-App wurde als Reaktion auf eine dringende Pandemie-Krise entwickelt und wurde schnell veröffentlicht [3].
However, the claim requires significant context that affects interpretation: **Rushed Timeline and Pandemic Response:** The COVIDSafe app was developed in response to an urgent pandemic crisis and was released quickly [3].
 Die Regierung entwickelte Technologie in einem beispiellosen Tempo während eines Gesundheitsnotfalls.
The government was developing technology at an unprecedented pace during a public health emergency.
 Während dies die Dringlichkeit erklärt, entschuldigt es nicht das Versäumnis, branchenübliche Sicherheitspraktiken umzusetzen tatsächlich macht es sie wichtiger, nicht weniger wichtig [3]. **Regierungsverantwortlichkeit vs. vergleichende Analyse:** Die Regierung reagierte schließlich auf einige Probleme.
While this explains the urgency, it does not excuse the failure to implement industry-standard security practices—in fact, it makes them more important, not less [3]. **Government Accountability vs.
 Nachdem die Forschungsgemeinschaft Schwachstellen identifiziert hatte, patchten die DTA und der Australian Signals Directorate den Parallelitätsfehler in der Verschlüsselung, wofür sich die Forscher bei ihnen bedankten [2].
Comparative Analysis:** The government did eventually respond to some issues.
 Die anfängliche Missachtung der Regierung, proaktive Mechanismen zur Offenlegung von Schwachstellen einzurichten, bedeutete jedoch, dass Korrekturen reaktiv und nicht systematisch umgesetzt wurden. **Vergleich zu internationalen Standards:** Singapurs Contact-Tracing-App (TraceTogether), nach der Australien COVIDSafe modellierte, zeigte, dass schnellere Offenlegung von Schwachstellen und transparentere Sicherheitspraktiken selbst im Pandemie-Kontext durchführbar waren.
After the research community identified vulnerabilities, the DTA and Australian Signals Directorate did patch the encryption concurrency flaw, which researchers thanked them for addressing [2].
 Ebenso war der Ansatz des UK, wenn auch nicht perfekt, deutlich transparenter mit Whitepaper-Dokumentation und schnellerer Einbindung von Forschern [1]. **Ausmaß der Auswirkungen:** Während die Sicherheitsprobleme von COVIDSafe real waren, gelang es der App letztendlich nicht, epidemiologischen Wert zu liefern.
However, the government's initial failure to establish proactive vulnerability disclosure mechanisms meant fixes came reactively rather than systematically. **Comparison to International Standards:** Singapore's contact tracing app (TraceTogether), which Australia modeled COVIDSafe after, demonstrated that faster vulnerability disclosure and more transparent security practices were feasible even in a pandemic context.
 Ein vertraulicher Regierungsbericht unabhängiger Berater ergab, dass „die Nutzung von COVIDSafe... zu hohen Transaktionskosten für staatliche Contact-Tracing-Teams führte und wenig Nutzen brachte“ [3].
Similarly, the UK's approach, while not perfect, was significantly more transparent with whitepaper documentation and faster engagement with researchers [1]. **Scale of Impact:** While COVIDSafe's security issues were real, the app ultimately failed to deliver epidemiological value.
 Bis zur Außerbetriebnahme der App wurden während ihrer gesamten Aktivitätsperiode nur zwei positive Fälle und 17 enge Kontakte entdeckt [3].
A confidential government report by independent consultants found that "the utilisation of COVIDSafe...resulted in high transaction costs for state contact tracing teams and produced few benefits" [3].
 Die Sicherheitslücken traten daher in einer Anwendung auf, die für ihren angegebenen Zweck bereits grundsätzlich unwirksam war.
By the time the app was decommissioned, it had discovered only two positive cases and 17 close-contacts during its entire period of activity [3].

Bewertung der Quellenglaubwürdigkeit

Die bereitgestellten Originalquellen sind glaubwürdig und gut dokumentiert: **ZDNET-Artikel [1]:** ZDNET ist eine Mainstream-Technologie-Publikation im Besitz von Ziff Davis Media und wird allgemein als glaubwürdige Quelle für Technologie-Berichterstattung anerkannt.
The original sources provided are credible and well-documented: **ZDNET Article [1]:** ZDNET is a mainstream technology publication owned by Ziff Davis Media and is widely recognized as a credible source for technology reporting.
 Der Artikel von Stilgherrian, einem bekannten Technologie-Journalisten, basiert auf direkten Berichten von Jim Mussared (ein Sicherheitsforscher) und Dr.
The article by Stilgherrian, a noted technology journalist, is based on direct reporting from Jim Mussared (a security researcher) and Dr.
 Vanessa Teague (eine respektierte Kryptografin).
Vanessa Teague (a respected cryptographer).
 Der Artikel ist faktenbasiert und dokumentiert [1]. **ITNews-Artikel [2]:** ITNews.com.au ist eine australische Technologie-Nachrichten-Publikation mit einem soliden Ruf für genaue Berichterstattung.
The article is fact-based and documented [1]. **ITNews Article [2]:** ITNews.com.au is an Australian technology news publication with a solid reputation for accurate reporting.
 Der Artikel dokumentiert Schwachstellen, die von mehreren respektierten Forschern (Chris Culnane, Ben Frengley, Eleanor McMurtry, Jim Mussared, Yaakov Smith, Vanessa Teague und Alwen Tiu) identifiziert wurden, und basiert auf deren detaillierter GitHub-Dokumentation [2]. **GitHub-Dokumentation [3]:** Das GitHub-Repository, das von Vanessa Teague und anderen gepflegt wird, enthält technische Analysen und Zeitplandokumentation.
The article documents vulnerabilities identified by multiple respected researchers (Chris Culnane, Ben Frengley, Eleanor McMurtry, Jim Mussared, Yaakov Smith, Vanessa Teague, and Alwen Tiu) and is based on their detailed GitHub documentation [2]. **GitHub Documentation [3]:** The GitHub repository maintained by Vanessa Teague and others contains technical analysis and timeline documentation.
 Dies ist eine Primärquelle, verfasst von den Sicherheitsforschern selbst, und ist hochgradig glaubwürdig, um zu verstehen, was wann entdeckt wurde [3].
This is a primary source authored by security researchers themselves and is highly credible for understanding what was discovered and when [3].
 Diese Quellen sind keine parteipolitische Advocacy; sie sind faktenbasierte Berichterstattung von respektierten Technologie-Journalisten und Kryptografie-Experten, die Sicherheitsprobleme in einer Regierungsanwendung dokumentieren.
These sources are not partisan advocacy; they are factual reporting by respected technology journalists and cryptography experts documenting security issues in a government application.
⚖️

Labor-Vergleich

**Hat die Labor-Partei etwas Ähnliches bei Technologie-Sicherheitspraktiken getan?** Diese Frage ist etwas schwierig direkt zu beurteilen, da die Labor-Partei während der COVID-19-Pandemie nicht an der Macht war (die Koalition regierte 2013-2022, während Labor die Wahl 2022 gewann).
**Did Labor do something similar with technology security practices?** This question is somewhat difficult to assess directly because Labor was not in power during the COVID-19 pandemic (the Coalition governed 2013-2022, while Labor won the 2022 election).
 Es gibt jedoch einigen relevanten historischen Kontext: **Technologie-Initiativen der vorherigen Labor-Regierung:** Während der Regierungszeit der Labor-Partei von 2007-2013 verfolgte sie verschiedene Technologie-Initiativen mit gemischten Ergebnissen, einschließlich des National Broadband Network (NBN).
However, some relevant historical context exists: **Prior Labor Government Technology Initiatives:** During Labor's 2007-2013 period in government, it pursued various technology initiatives with mixed results, including the National Broadband Network (NBN).
 Das NBN-Projekt wurde für Kostüberschreitungen und Implementierungsherausforderungen kritisiert, diese bezogen sich jedoch eher auf Projektmanagement und Infrastruktur-Bereitstellung als auf Sicherheitspraktiken bei spezifischen Anwendungen [4]. **Vorgeschlagene Oppositions-Cyber-Sicherheits-Politiken:** Während der Pandemie wies der Labor-Shadow-Assistant für Cyber-Sicherheit, Tim Watts, auf das britische Modell einer „zentralen Plattform zur Offenlegung von Schwachstellen“ hin, die von HackerOne betrieben wird, als besseren Ansatz [1].
The NBN project faced criticism for cost overruns and implementation challenges, but these were more related to project management and infrastructure deployment rather than security practices in specific applications [4]. **Proposed Opposition Cyber Security Policies:** During the pandemic, Labor's Shadow Assistant Cyber Security Minister Tim Watts pointed to the UK's model of a "central vulnerability disclosure platform" operated by HackerOne as a better approach [1].
 Labor schlug solche Maßnahmen als Politik vor, was darauf hindeutet, dass die Opposition erkannte, dass der Ansatz der Koalition unzureichend war [1].
Labor was proposing such measures as policy, suggesting the opposition recognized that the Coalition's approach was deficient [1].
 Dies impliziert, dass Labor wahrscheinlich bessere Praktiken umgesetzt hätte, aber dies ist ein vorgeschlagener Alternativansatz und kein nachgewiesener Track Record. **Regierungsweite Sicherheitskultur:** Es gibt keine Beweise dafür, dass die Labor-Regierung unter Albanese (2022-heute) grundsätzlich andere Sicherheitspraktiken für kritische Anwendungen implementiert hat.
This implies Labor would likely have implemented better practices, but this is a proposed alternative rather than a demonstrated track record. **Government-Wide Security Culture:** There is no evidence that Labor under Albanese government (2022-present) has implemented fundamentally different security practices for critical applications.
 Das Problem scheint eher systemisch in der australischen Regierung zu sein als parteipolitisch.
The issue appears to be more systemic across Australian government rather than partisan.
🌐

Ausgewogene Perspektive

**Die Position der Regierung:** Die DTA handelte unter außergewöhnlichem Zeitdruck während einer Pandemie.
**The Government's Position:** The DTA acted under extraordinary time pressure during a pandemic.
 Die Einrichtung formeller Bug-Bounty-Programme und die Veröffentlichung umfassender Sicherheitsdokumentation erfordern Prozesse, die normalerweise Wochen oder Monate dauern.
Establishing formal bug bounty programs and publishing comprehensive security documentation requires processes that typically take weeks or months.
 Die Regierung priorisierte die schnelle Bereitstellung gegenüber den mehrschichtigen Sicherheitspraktiken, die unter normalen Umständen ideal gewesen wären. **Dies entschuldigt jedoch nicht den Ansatz:** Der internationale Vergleich zeigt, dass transparente Sicherheitspraktiken nicht mit schneller Bereitstellung unvereinbar sind.
The government prioritized rapid deployment over the layered security practices that would have been ideal under normal circumstances. **However, This Does Not Excuse the Approach:** International comparison shows that transparent security practices are not incompatible with rapid deployment.
 Singapur und das UK veröffentlichten beide umfassendere Dokumentation und richteten schnellere Kommunikationskanäle mit Forschern ein, selbst während des gleichen Pandemie-Notfalls [1].
Singapore and the UK both released more comprehensive documentation and established faster communication channels with researchers, even during the same pandemic emergency [1].
 Die Erklärung „es war dringend“ liefert Kontext, rechtfertigt aber nicht das vollständige Verwerfen branchenüblicher Sicherheitspraktiken. **Das größere systemische Problem:** Die akademische Analyse des australischen COVID-Technologie-Ökosystems legt nahe, dass dies Teil eines größeren Problems war: „Australiens Entscheidung, visuelle Indikatoren für Sicherheit zu bewerben und zu gestalten z.B. einen ‚grünen Haken' für Check-ins erfolgte konsequent auf Kosten starker kryptografischer Schutzmaßnahmen“ [3].
The "it was urgent" explanation provides context but does not justify abandoning industry-standard security practices entirely. **The Broader Systemic Issue:** The academic analysis of Australia's COVID technology ecosystem suggests this was part of a broader problem: "Australia's choice to advertise and design visual indicators of security—e.g., a 'green tick' for check ins—persistently came at the cost of strong cryptographic protections" [3].
 Dies stellt nicht nur eine Frage des Zeitplandrucks dar, sondern eine grundsätzlich philosophische Differenz im Umgang mit Sicherheit. **Wichtige Unterscheidung:** Die Wahl von Sicherheits-Best-Practices ist kein Luxus-Add-on; sie ist grundlegend.
This represents not just a matter of timeline pressure but a fundamental philosophical difference in approaching security. **Key Distinction:** Choosing security best practices is not a luxury add-on; it's foundational.
 Das Versäumnis der Regierung, formelle Verfahren zur Offenlegung von Schwachstellen einzurichten, den vollständigen Code zu veröffentlichen oder Bug-Bounty-Programme zu etablieren, bedeutete, dass: - Sicherheitsprobleme von externen Forschern entdeckt und an nicht reaktionsfähige Regierungsbehörden gemeldet wurden - Korrekturen reaktiv und nicht proaktiv umgesetzt wurden - Die Regierung nicht von Crowdsourced-Sicherheits-Audits profitierte - Das Vertrauen der Öffentlichkeit durch schlechte Sicherheitspraktiken untergraben wurde
The government's failure to implement formal vulnerability disclosure, publish complete code, or establish bug bounty programs meant that: - Security issues were discovered by external researchers and reported to unresponsive government agencies - Fixes were implemented reactively rather than proactively - The government didn't benefit from crowdsourced security auditing - Public trust was eroded by poor security practices

WAHR

8.5

von 10

Die Koalitionsregierung ignorierte Sicherheits-Best-Practices bei der Bereitstellung der COVIDSafe-App.
The Coalition government did ignore security best practices when deploying the COVIDSafe app.
 Die Regierung entschied sich gegen die Einrichtung eines formellen Bug-Bounty-Programms [1], veröffentlichte nicht zeitnah den vollständigen Quellcode (nur App-Code, nicht Servercode) [1] und versäumte es, reaktionsfähige Verfahren zur Offenlegung von Schwachstellen einzurichten [1].
The government chose not to establish a formal bug bounty program [1], did not promptly publish complete source code (only app code, not server code) [1], and failed to establish responsive vulnerability disclosure processes [1].
 Diese Schwachstellen einschließlich CVE-2020-14292, CVE-2020-12856, Bluetooth-Nachrichten-Verfälschung und Parallelitätsfehler in der Verschlüsselung wurden von Forschern im Laufe der Zeit entdeckt und an einen nicht reaktionsfähigen Regierungsapparat gemeldet [1][2].
These vulnerabilities—including CVE-2020-14292, CVE-2020-12856, Bluetooth message garbling, and encryption concurrency flaws—were discovered by researchers over time and reported to an unresponsive government apparatus [1][2].
 Internationale Vergleiche (Singapur, UK) zeigen, dass dies Versäumnisse der Wahl waren, nicht der Notwendigkeit [1][3].
International comparisons (Singapore, UK) demonstrate these were failures of choice, not necessity [1][3].

📚 QUELLEN UND ZITATE (6)

  1. 1
    zdnet.com

    zdnet.com

    Best practice would suggest that making source code available and responding quickly to reported vulnerabilities is a given for government apps, but not yet in Australia.

    ZDNET
  2. 2
    itwire.com

    itwire.com

    A number of researchers have detailed four major vulnerabilities in the Australian Government's COVIDSafe application for the iPhone and Android systems, and advised users to upgrade at once. The main patches issued were to fix: A bug in the way COVIDSafe reads Bluetooth messages on iPhones. Thi...

    Researchers outline flaws in COVIDSafe app, urge users to upgrade
  3. 3
    arxiv.org

    arxiv.org

    Arxiv

  4. 4
    PDF

    report on the operation and effectiveness of covidsafe and the national covidsafe data store 0

    Health Gov • PDF Document
  5. 5
    ncbi.nlm.nih.gov

    ncbi.nlm.nih.gov

    Timely and effective contact tracing is an essential public health measure for curbing the transmission of COVID-19. App-based contact tracing has the potential to optimize the resources of overstretched public health departments. However, its ...

    PubMed Central (PMC)
  6. 6
    pmc.ncbi.nlm.nih.gov

    pmc.ncbi.nlm.nih.gov

    The global and national response to the COVID-19 pandemic has been inadequate due to a collective lack of preparation and a shortage of available tools for responding to a large-scale pandemic. By applying lessons learned to create better ...

    PubMed Central (PMC)

Bewertungsskala-Methodik

1-3: FALSCH

Sachlich falsch oder böswillige Fälschung.

4-6: TEILWEISE

Etwas Wahrheit, aber Kontext fehlt oder ist verzerrt.

7-9: GRÖSSTENTEILS WAHR

Kleine technische Details oder Formulierungsprobleme.

10: KORREKT

Perfekt verifiziert und kontextuell fair.

Methodik: Bewertungen werden durch Abgleich offizieller Regierungsdokumente, unabhängiger Faktenprüfungsorganisationen und Primärquellendokumente bestimmt.

Previous: C0194 Next: C0196