Push-Nachrichten: Behörden fragen Google und Apple nach Messenger-Nutzern
von caschy | 20 Kommentare
Foto von Tim Mossholder auf Unsplash
Obwohl viele Messenger-Dienste behaupten, keine Kenntnis über Kommunikationsinhalte sowie nur begrenzte Meta- und Bestandsdaten ihrer Nutzer zu haben, gibt es eine wichtige Ausnahme. Die meisten Messenger-Anbieter verfügen über sogenannte „Push-Tokens“ für Nutzerkonten. Diese Push-Tokens werden von den Push-Diensten mit den Nutzerkonten bei Apple oder Google verknüpft. Dadurch wird aus einer pseudonymen Messenger-ID ein Google- oder Apple-Account, der eine Vielzahl personenbezogener Daten enthält.
Ein US-Politiker behauptet, dass Apple und Google von Regierungen gezwungen wurden, Daten über Push-Benachrichtigungen von iPhones und Android-Handys an Behörden weiterzugeben. Ron Wyden, der den Bundesstaat Oregon im US-Senat vertritt, wandte sich, nachdem er von Netzpolitik auf den Fall aufmerksam gemacht wurde, an das US-Justizministerium.
In diesem wurde vorgeschlagen, dass das Ministerium Apple und Google erlaubt, die Datenübermittlung transparent zu machen. Apple hat bereits reagiert und angekündigt, ihre Transparenzberichte zu aktualisieren, um solche Anfragen detailliert darzustellen. „In diesem Fall hat uns die Bundesregierung die Weitergabe jeglicher Informationen untersagt“, heißt es in einer Erklärung von Apple gegenüber Reuters. „Da diese Methode nun öffentlich geworden ist, aktualisieren wir unsere Transparenzberichterstattung, um diese Art von Anfragen detailliert darzustellen.“ Google erklärte, es teile Wydens „Verpflichtung, die Nutzer über diese Anfragen auf dem Laufenden zu halten“.
Es wird gehofft, dass auch andere Anbieter dem Beispiel folgen und ihr Schweigen brechen. Grundsätzlich sind nicht nur Apples und Googles Messenger-Wege betroffen, auch andere verschlüsselte Messenger arbeiten wie bei Netzpolitik beschrieben und verbinden sich mit Servern von Apple, Google oder auch Huawei.
Man habe Signal, Threema (die bieten übrigens optional einen eigenen Push-Dienst an) und Wire gefragt, wie viele Nutzer-Accounts sie haben und wie viele davon die Push-Dienste von Apple, Google oder auch Huawei verwenden. Threema und Wire wollen keine Zahlen zu Accounts oder Push-Diensten herausgeben, auch keine relativen Angaben. Signal hat auf eine wiederholte Presseanfrage nicht geantwortet.
Anfang des Jahres sagte der französische Entwickler David Libeau, Nutzer und Entwickler wüssten oft nicht, wie ihre Apps Daten über Push-Benachrichtigungen an die US-amerikanischen Technologiegiganten weitergaben, und bezeichnete dies als „einen Datenschutz-Albtraum“.
Wird geladen ...
Das einzige was man heutzutage noch nutzen kann: Ein Google-Freies Smartphone mit Threema und beides richtig konfiguriert. Also ohne Googles Push Dienst, sondern nur den Threema Push nutzen.
Threemas Nutzerzahlen kann jeder auf deren Webseite & in Presse-Informationen nachlesen: > 11 Mio. aktive Nutzer (Stand Oktober 22)
Und Threema hat seit Jahren einen offenen Transparenzbericht, den jeder hier einsehen kann:
https://threema.ch/de/transparencyreport
dort steht auch, welche Infos sie genau rausgeben!
oder einen Dienst wie Telegram benutzen. Da wird nur die Info „Es gibt was“ übertragen an Google, der Inhalt der Pushnachricht wird dann von der App/den Telegram Servern geladen, Google sieht nichts.
Armselig, wie versucht wird, jeden unter Generalverdacht zu stellen. Fast schon deutsche Verhältnisse in den USA 🙁
ABER… jeder hat es in der Hand. Wäre es wirklich für die Mehrheit schlimm, würde weltweit sicher anders gewählt werden.
Ja.
Und nunja, es gibt Google-Freie-OS und es gibt Google-Freie-OS. Maximal sicher- & dantenschutzfreundlich – auch bzgl. zu dem im Blogbeitrag genannten Thema – kommen dann nur GrapheneOS und was eigentlich noch in Frage? 🙂
e-OS? Ganz ohne Android SaifishOS?
Aber warum kann man nur das nutzen? Es ist mir doch völlig egal ob Google, die Regierung oder sonst irgendwer irgenwelche Metadaten von mir hat.
Wäre ich ranghoher Politiker, sähe ich das natürlich evtl. anders.
„Es ist mir doch völlig egal“
Das ist das Grundproblem – es kann eben niemandem Egal sein. Und du würdest dich wundern, was man aus Metadaten alles auslesen kann. Da kann ich „Spiegel mining“ von David Kriesel empfehlen. Datenschutz ist wichtiger denn je.
„We kill people based on metadata“
Frickelkram für Nerds und Paranoiker. Für Otto Normaluser nicht brauchbar.
In meinem recht großen Freundes- und Bekanntenkreis nutzt niemand Threema, Signal oder einen anderen Exoten. Warum auch, ist ja niemand da, denn ich kenne. (Henne-Ei)
Otto Normaluser holt sich auch Mikros und Webcams in die eigenen vier Wände, ist also definitiv kein Maßstab hier.
Und als „schlaue Telefone“ bezeichnete Wanzen in die Hosentasche.
Was haben alternative Messenger mit „Nerds“ und „Paranoiker“ zu tun? Bei GrapheneOS mag es teils zutreffen, zumindest was „Nerds“ betrifft, denn das ordentlich zu konfigurieren und sich darauf einzulassen nicht mehr ganz so komfortabel mit dem Smartphone umgehen zu können, ist sicher nichts für einen Standarduser. Signal hat aber inzwischen einen recht großen Nutzerkreis und Threema wäre schon lange viel weiter oben, wenn es kostenlos wäre, allerdings sind die meisten zu geizig die 3,99 € bzw. aktuell 5,99 € dafür auszugeben. Bei mir kommt WhatsApp nicht mehr auf das Gerät drauf und alle, die mit mir kommunizieren und weiter bei WhatsApp bleiben möchten (der Grund ist sowieso immer der gleiche – weil es die meisten haben), installieren sich zusätzlich eine der Alternativen. Auch wenn das anfangs viel Gejammer verursacht hat, aber seit ein paar Jahren läuft das super und der ein oder andere hat sich inzwischen ebenfalls von WhatsApp abgewandt.
Um wirklich sicher unterwegs zu sein, sollte man nicht einmal Signal nutzen (es erhebt auch Metadaten). Der Session Messenger gilt als die sicherste unter den Messaging-Apps.
Welche Metadaten erhebt Signal denn? Siehe https://signal.org/bigbrother/
Signal lässt MetaDaten Sammeln von Google, Amazon,Microsoft & Cloudflare – da geht der gesamte Traffic drüber.
Siehe auch Spektrum der Wissenschaft:
https://www.spektrum.de/news/mythos-signal-licht-und-schatten-beim-nicht-kommerziellen-messenger/2190072
Session nutzt ebenfalls die Push Dienste von Apple und Google. Und der Polling Modus bringt nichts, weil die Nachrichten viel zu langsam reinkommen für einen echten Chat.
Daneben lässt Session seinen Traffic über 4000 nodes laufen und das bietet auch Chancen zum MetaDaten-Abgriff.
Follow the money: Session stammt von den Loki Coin Machern (=eine der unerfolgreichsten Cryptowährungen.) Und dubiose Finanziers auch China mit an Bord.
Keine Ahnung wozu du Messanger verwendest. Ich kommuniziere hauptsächlich mit der Familie und es ist mir völlig wumpe, ob irgendeine Regierung weiß, dass ich meine Frau frage was es heute Abend zu essen gibt. Da muss nix „wirklich sicher sein“. Bei dir und deinen Aktivitäten im Netz mag das vielleicht anders aussehen…
Und ja, ich nutze alle Googledienste und auch Whatsapp gerne.
Signal erzeugt so wenige Metadaten wie möglich. Die IP-Adressen, die miteinander kommunizieren, sind die einzigen Daten, die bekannt sind (und natürlich der Empfänger einer Nachricht).
Briar ist da zwar besser (wenn nicht sogar der sicherste und datenärmste Messenger), da es auf Peer-to-Peer setzt. Allerdings ist das deswegen nicht mehr komfortabel nutzbar und damit für die Meisten ungeeignet, da schon viele damit überfordert sind, sich einen zweiten Messenger zu installieren, geschweige denn zu nutzen.
Session wird von Digital Courage nicht empfohlen, da der Messenger „tief in die #AltRight- und Chan-Kultur verstrickt zu sein [scheint]“.
Was ist denn, wenn man Push (für diverse Apps im Fadenkreuz) einfach deaktiviert?
Also zB bei iOS Apps Mitteilungen deaktiviert? (Entzieht das überhaupt die Push-Erlaubnis, die einmalig abgefragt wird bei neuen Apps nach Installation und erstmaligem starten?! – ich glaube ja, da ich erst per iCloud Backup umgezogen habe und manche Apps beim Start auf dem neuen Gerät wieder nach Push Erlaubnis fragten. )
Jedenfalls bin ich dieses Jahr so busy wie noch nie gewesen und habe mir angewöhnt, dann in meinen Messenger Apps einfach dann nachzusehen, wenn es MIR passt. Für Notfälle möge man mich anrufen. Bin dadurch auch wesentlich entspannter, ich muss nicht immer alles gleich lesen und beantworten.
Habe schon Leute zu Threems/Signal/Telegramm gebracht aber alle sind sie auf WhatsApp hängengeblieben… daher habe ich es auch und bis auf 1-2 Kontakte gleichzeitig je nach Bedarf bleiben alle anderen Chats archiviert und damit stumm (denke Nachrichten ins Archiv kommen allerdings dennoch per Push)
Aber könnte insbesondere bei diesem rotzigen, etablierten und leider von FB (oder heute Meta) zugehörigem Messenger auf Push verzichten. Nichts kann so wichtig sein INSTANT – insbesondere keine Todesnachricht, obwohl das ziemlich paradox ist, was ich ambivalenterweise ernst und sarkastisch gleichzeitig meine. .
Ich kenn mich damit nicht aus, wenn ich Push initial ablehne aber in die App gehe, kommen dann Nachrichten über „pull“ also Abruf ? Muss mal testen und mehr dazu recherchieren. Selbst hier im Blog scheiden sich ja die Geister scheinbar über sichere Messenger.
Ich dachte mit E2E seien Inhalte wenigstens sicher. Aber „kein System ist sicher“, wie das Zitat aus diesem von der Idee her gar nicht mal so cringigen Hacker Film, hab grad den Namen vergessen.
Seit Pegasus von NSO und seit ich lustige Feststellungen beim Testen, ob es berufsbedingt auf meinem Handy hätte sein können, gemacht habe, wie, dass ich vermeintlich gelöschte Nachrichten noch irgendwo im Filesystem finden konnte, glaub ich (spätestens!) keine Sicherheitsversprechen keines Herstellers mehr.
Leider wohn ich im Keller. Ich ziehe in ein Dachgeschoss und züchte mir einen Taubenschlag auf (ob mit oder ohne Alu-Welldach), ich denke ihr wisst worauf ich hinaus will ^^ und dass ich es mit Humor sehe.
Aber dennoch WTF?! Fazit bleibt, NICHTS garantiert einem Abhörsicherheit. Nicht mal Flüstern in einem nicht eigenem Raum…
es sind genau solche Aussagen die mich lachen lassen.
ein Google freies Smartphone und man ist sicher?
schon allein diese Aussage sagt viel aus und dann wollen sie uns erzählen sie können das richtig konfigurieren ?
selbst wenn ihr Smartphone aus ist, sind sie nicht sicher.
Aber hey, ich lass euch weiter träumen.
Ernsthaft? Ich spring auch auf den Zug um Leute verrückt zu machen? Um mal aufklärung zu schaffen, der push payload ist sehr begrenzt. Heißt, die Anzahl an Zeichen die man als Entwickler (Server) and Google/Apple versendet kann nicht unendlich sein. Ergo wird nicht (!) der Chat inhalt darüber versendet, sondern eher nur eine kleine Nachricht im Sinne von „Hey X hat die geschrieben, fetch mal die letzten updates vom server“. Die Nachricht sieht aber auch nicht so schön aus wie oben, sondern ist eher kryptisch sodass es ein computer versteht und nicht eine person/Regierung.
Naja und dann kommt diese push an, die app holt sich auf ihrem weg(!) (https) ihre Daten vom eigenen server(!) und zeigt eine lokale(!) notification, die eben nicht von Google/Apple über FCM/APN gelesen werden kann.
Savvy?