Datenschutzprobleme: Nothing Chats aus dem Play Store entfernt
von caschy | 18 Kommentare
Vielleicht habt ihr es mitbekommen: Der Smartphone-Hersteller Nothing wollte laut eigener Aussagen Brücken schlagen zwischen seinem Android-System und den iPhone-Nutzern. Letztere haben iMessage zur Verfügung, erste wiederum nicht, was für manche anscheinend ein Problem darstellt.
Nothing hat also mithilfe eines Partners eine App namens Nothing Chats in den Play Store gehievt, die die Brücke schlägt und es Android-Nutzern erlaubt, mit iMessage-Freunden in deren Chat aufzutauchen, ohne dass die klassische SMS verwendet wird. Ich schrieb es dieser Tage bereits: Nicht gerade die charmante Art, denn Sunbird, das ist der Name der Partner-App, arbeitet auf eine Art und Weise, die man aus Sicherheitsgründen nicht unterstützen sollte.
So muss man seine Apple ID nutzen, damit man sich an einem Mac in der Cloud anmeldet, damit dieser dann für das iMessage-Gedöns sorgt. Sunbird sei aber angeblich sicher und Ende-zu-Ende-verschlüsselt.
Nun der Spin: Ist gar nicht so. Daten werden unter anderem unverschlüsselt auf Firebase speichert (ein cloudbasierter Plattformdienst von Google, der eine Vielzahl von Tools und Diensten für die Entwicklung und das Wachstum von Webanwendungen und mobilen Apps bietet. Kurzum: Datenschutz-Albtraum.
Die Reaktion von Nothing? „Wir haben die Betaversion von Nothing Chats aus dem Play Store entfernt und werden den Start bis auf Weiteres verschieben, um mit Sunbird an der Behebung mehrerer Fehler zu arbeiten.“
Das hätte Nothing vielleicht früher überprüfen sollen – so hat man sich einen Bärendienst erwiesen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Das wird‘s dann eh nicht lange geben. Da gibt es ein Anruf von Apple bei Google, dann hat sich die Sache erledigt.
Apple und Google haben sowieso Zugriff auf die Daten der Geräte, da ist die Behauptung, Firebase sei unverschlüsselt, halt einfach nur ein Strohmann-Argument. Ein Datenschutz-Albtraum ist bereits die Speicherung von personenbezogenen Daten auf Apple- oder Google-Geräten.
Ja eh! Weg mit dem Zeug und ab die Steinzeit. Wird fix alles besser dadurch!
Ich lebe gut ohne Apple und Google auf meinen Geräten schnüffeln zu lassen und kann sogar mit anderen Menschen sicher kommunizieren.
Ergo: Du übertreibst maßlos.
Rein aus Neugierde: welche Geräte nutzt du, auf dem du mit dem Bösen nicht in Kontakt kommst?
Mit „dem Bösen“ nicht in Kontakt kommen ist heutzutage in der Tat schwierig, das war aber auch nicht mein Punkt. Ich nutze ein gebraucht erworbenes Google Pixel mit GrapheneOS. Auch wenn es paradox erscheint, ein Gerät von Google ist tatsächlich mit die beste Option, um um Google herum zu kommen.
„… wollte laut eigener Aussagen Grenzen schlagen zwischen …“
Nicht eher „Brücken“?
wo war ich da bloß mit meinen Gedanken…
Wenn Messaging-Dienste nicht nachgewiesen sichere Ende-zu-Ende Verschlüsselung haben, sollte man sie erstmal wie so ziemlich jeden anderen Kommunikationskanal behandeln: wie eine Postkarte. Normale Email, SMS, die genannte Postzkarte – alles unverschlüsselt, jeder an der Kommunikation beteiligte Dienstleister kann mehr oder weniger mitlesen. Ein Datenschutz-Albtraum wird es erst, wenn man entsprechend vertrauliche Daten darüber verschickt. Den neuesten Arztbefund per Postkarte verschicken? Würde niemand machen, diesen Anspruch an Vertraulichkeit stellt niemand an das Medium. Viel weiter würde ich auch keinem Messaging-Dienst trauen, der keinen Nachweis zur unabhängigen Überprpüfung der E2E-Verschlüsselung erbringen kann.
Dann bleibt null Kommunikation übrig.
Aber man bleibt bestimmt fitter, wenn man den Arztbrief selber in der Praxis abliefert.
> Dann bleibt null Kommunikation übrig.
Das ist natürlich falsch. Es gibt Messenger, deren Software unterliegt einer freien Lizenz und unterstützten Reproducible Builds. Selbstverständlich kann bei diesen nachgewiesen werden, dass sie Ende-zu-Ende verschlüsselt sind.
Und du hast natürlich überprüft, dass Apple / Google nicht über private APIs an die Daten kommen, bevor diese verschlüsselt werden?
Es ging um die Software an sich. Wer davon abgesehen auf Nummer Sicher gehen will, macht es wie ich, und nutzt GrapheneOS auf dem Handy.
Und hast natürlich alles – OS & Apps – selbst überprüft.
Du wirst dich doch wohl nicht auf Angaben von Community, Hersteller, etc. verlassen?
Du hast das Prinzip freier Software nicht verstanden.
Doch doch, das habe ich. Also hast du den Quellcode selbst überprüft, oder verlässt du dich darauf, dass andere das gemacht haben?
Du willst mir ja sicher nicht erzählen, dass „freie Software“ automatisch sichere Software sein soll.
Dass du die Frage stellst zeigt, dass du das Prinzip freier Software eben gerade nicht verstanden hast. Und nein, natürlich ist freie Software nicht automatisch sicher. Hat aber auch niemand behauptet.
Klär mich doch bitte auf, was ich nicht verstanden haben soll.