y0o.de · GNU/Linux Nachrichten u.Ä.

🔒
❌ Über y0o.de
Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeHaupt-Feeds

Whatsapp führt verschlüsselte Backups ein

14. September 2021 um 11:49

Bisher konnten die Whatsapp-Nachrichten nur unverschlüsselt in der Cloud gesichert werden – was insbesondere in der iCloud nicht sicher ist.

In Zukunft sollen nicht nur die per Whatsapp versendeten Nachrichten verschlüsselt übertragen werden, sondern auch die Backups dieser Nachrichten, die Nutzer auf ihren Geräten anlegen und nicht selten in die Cloud übertragen. Die Funktion soll in den kommenden Wochen unter Android und iOS eingeführt werden.

Im Unterschied zu der Ende-zu-Ende-Verschlüsselung für Messengernachrichten ist die Verschlüsselung bei Backups optional. Die Nutzer können also selbst entscheiden, ob sie die Backups verschlüsseln wollen. Legen sie ein solches verschlüsseltes Backup an, haben sie die Wahl, den 64-stelligen Schlüssel selbst zu sichern oder passwortgeschützt auf Whatsapp-Servern abzulegen.

Damit auch Whatsapp nicht auf den Schlüssel zugreifen kann, setzt das Unternehmen auf eine Technik, die es Backup Key Vault nennt und mit einem Bankschließfach vergleicht. Mittels Opaque-Protokoll soll der Schlüssel auf einem Hardware-Sicherheitsmodul (HSM) abgelegt werden. Die Technik soll sicherstellen, dass Whatsapp weder auf das Passwort noch den Schlüssel zugreifen kann.

“Weder Whatsapp noch der verwendete Backup-Dienst wie Google Drive oder iCloud können auf ein Backup zugreifen”, versichert Whatsapp. Insbesondere Apples iCloud ist umstritten, da Strafverfolgungsbehörden und Geheimdienste über sie weitgehend alle Inhalte eines iPhones einsehen können.

Apple hatte es unterlassen, die iCloud so zu verschlüsseln, dass nur noch die Nutzer selbst auf ihre Daten und Backups zugreifen können. Eine entsprechende Funktion war zwar geplant, wurde jedoch nie umgesetzt, um einem Konflikt mit dem FBI aus dem Weg zu gehen.

Um die Backups wiederherzustellen, muss entweder der 64-stellige Schlüssel manuell eingegeben werden oder das vergebene Passwort. Mit Letzterem kann der Schlüssel zur Entschlüsselung des Backups von den Whatsapp-Servern wiederhergestellt werden. Auch hier kommt wieder das Opaque-Protokoll zum Einsatz.

Die Messenger Signal und Threema bieten bereits seit geraumer Zeit ebenfalls verschlüsselte Backups. Bei Signal muss bei der Einrichtung des Backups eine generierte 30-stellige Passphrase notiert beziehungsweise in einem Passwortmanager und zur Bestätigung erneut eingegeben werden. Anschließend werden regelmäßig verschlüsselte Backups generiert, die mit der Passphrase wieder eingespielt werden können.

Bei Threema kann entweder manuell ein lokales Backup mit einem selbst gewählten Passwort erstellt werden oder es ist ein regelmäßiges Backup in der Cloud (Threema Safe) möglich. Auch hier muss ein selbst gewähltes Passwort vergeben werden. Anschließend kann das Backup auf Threema-Servern oder einem beliebigen Webdav-Server wie beispielsweise Nextcloud gespeichert werden.

Der Beitrag Whatsapp führt verschlüsselte Backups ein erschien zuerst auf Linux-Magazin.

WhatsApp – Das Problem ist nicht die Verschlüsselung

08. September 2021 um 21:22
Von: Gerrit

Werden WhatsApp-Nachrichten gemeldet, gelangen diese im Klartext an Facebook. Daraus kann man auch Story machen, aber muss man auch wirklich? Die Probleme liegen doch ganz woanders.

Aktuell verweisen gerade viele auf eine ProPublica Recherche zu WhatsApp. Im Kern geht es dort um die Moderationspraxis des Messengers. Brisante Neuigkeit? Die Moderatoren sind armes, schlecht bezahlte und überarbeitete Menschenmaterial. Hat man von Facebook wirklich was anderes erwartet? Wie so oft interessieren die Arbeitsbedingungen die meisten sowieso nur am Rande. Am Ende denkt jeder vor allem an sich und an seine verschickten Nachrichten. Dabei gilt grundsätzlich: WhatsApp verschickt Inhalte Ende-zu-Ende verschlüsselt.

Die Recherche von ProPublica ergab: Wenn ein Kommunikationspartner diese Inhalte meldet, landen sie im Klartext bei Facebook. Das ist jetzt nicht wirklich überraschend und auch nicht wirklich problematisch, weil es voraussetzt, dass ein Kommunikationspartner die Inhalte durch Meldung offen legt. Man hat ja sowieso keinen Einfluss darauf, was andere mit den verschickten Nachrichten, Bildern, Sprachnachrichten usw. machen.

Eva Galperin von der EFF kritisiert deshalb zu recht die Berichterstattung auf Twitter:

Das wirkliche Problem bei WhatsApp sind nicht die Nachrichteninhalte, sondern die Metadaten. Das betont auch netzpolitik.org im dortigen Artikel zur WhatsApp-Recherche von ProPublica. Die Verschlüsselung tut was sie soll, was die einzelnen Kommunikationspartner mit den Nachrichten machen, entzieht sich der Kontrolle von WhatsApp bzw. Facebook. Das Problem bei WhatsApp sind die Metadaten und was Facebook aus den potenziell alles herauslesen kann. Zumal weil Facebook diesen Datensatz mit vielen anderen Daten verknüpfen könnte.

Ich persönlich nutze sehr gerne Threema, aber muss leider zur Kenntnis nehmen, dass Signal Threema den Rang abgelaufen hat. Ansonsten freut mich der gegenwärtige Erfolg von Signal ungemein. Seit dem PR-Debakel von WhatsApp mit den Nutzungsbedingungen im Winter tröpfelt langsam aber stetig ein Strom von Kontakten in meine Signal-Kontaktliste. Inzwischen erzeugt das eine eigene Sogwirkung und Leute wechseln tatsächlich zu Signal, weil dort alle andere sind und die wichtigen Gruppen betrieben werden. Wer hätte das vor 12 Monaten für möglich gehalten?

WhatsApp ist bei mir inzwischen eher so was wie die SMS. Haben halt alle und man kann mich dort eben auch noch kontaktieren. Bis auf wenige Ausnahmen spielt sich bei WhatsApp somit auch nur noch die Gelegenheitskommunikation ab.

Der Artikel WhatsApp – Das Problem ist nicht die Verschlüsselung erschien zuerst auf [Mer]Curius

Krypto-Messenger: Firmen können Threema Work nun selbst hosten

29. Juli 2021 um 09:00
Firmenkunden können die Unternehmenslösung Threema Work auch selbst auf eigenen Servern hosten. Eine entsprechende Variante bietet Threema nun an. Obwohl die bisherige SaaS Lösung mehr [...]

Threema OnPrem – Messenger auf eigenem Server hosten

27. Juli 2021 um 10:13
Von: jdo

Den Messenger Threema muss ich hier wohl nicht weiter vorstellen. Ich benutze die Software selbst und sichere meine Daten auf meine Nextcloud. Das Unternehmen aus der Schweiz positioniert sich als sichere Alternative zu Messengern wie WhatsApp, Facebook Messenger und so weiter. Threema Work wird von diversen Unternehmen genutzt, die die Software als sichere Messaging-App einsetzen und somit die Unternehmensdaten schützen. Ab sofort haben Firmen mit Threema OnPrem auch die Möglichkeit, die Infrastruktur selbst zu hosten. Threema OnPrem für noch mehr […]

Der Beitrag Threema OnPrem – Messenger auf eigenem Server hosten ist von bitblokes.de.

Threema on Prem: Messaging auf eigenen Servern

27. Juli 2021 um 09:58

Das schweizerische Unternehmen Threema bietet seinen gleichnamigen Messenger Service für Firmen und Behörden als On-Premise-Dienst auf eigenen Servern an. Benötigt werde als Grundvoraussetzung ein Linux-Server (physisch oder virtuell) mit Docker.

Threema hat seine Apps zur Kontrolle durch die Community als Open Source veröffentlicht. Mit seinem Ende-zu-Ende-verschlüsselten Messenger gilt das kostenpflichtige Threema als eine Art sicherere europäische Alternative zum amerikanischen Platzhirsch Whatsapp. Insbesondere die Änderungen der Nutzungsbedingungen von Whatsapp zu Ungunsten des Datenschutz und der Privatsphäre der Nutzer hat den alternativen Messengern mehr Popularität verschafft.

Mit Threema OnPrem gehen die Schweizer nun einen Schritt weiter und bieten Firmen und Behörden an, eine unabhängige und komplett eigenständige Chat-Umgebung aufzubauen und auf einem eigenen Server zu betreiben.

Nutzer von Threema OnPrem können dann nur mit anderen Nutzern derselben OnPrem-Instanz kommunizieren,teilt Threema mit. Es sei also mit der Threema OnPrem-App nicht möglich, mit Nutzern zu kommunizieren, die Threema oder Threema Work verwenden, heißt es vom Anbieter.

Bei Threema OnPrem fallen jährliche Kosten für Endnutzer-Lizenzen an, teilen die Schweizer mit. Eine Einrichtungsgebühr sowie eine jährliche Grundpauschale für Server-Lizenz, Software-Updates und technischen Support sei ebenfalls fällig. Konkrete Preisangaben macht Threema nicht.

Der Beitrag Threema on Prem: Messaging auf eigenen Servern erschien zuerst auf Linux-Magazin.

Telegram 2.8.8 für Desktop enthält kleine Bildbearbeitung

16. Juli 2021 um 12:09
Von: jdo

Ich benutze Telegram nicht nur auf dem Smartphone, sondern auch auf dem Desktop. Gerade eben kam eine Aktualisierung reingeschneit, die nur eine, aber ganz nützliche Neuerung mit sich bringt. Ab sofort gibt es eine kleine Bildbearbeitung, mit der Du Bilder vor dem Verschicken zuschneiden kannst. Du darfst auch gewisse Dinge markieren – kannst also in das Bild malen. Hier kurz in Bildern, wie das aussieht. Vor dem Verschicken eines Bildes oder Fotos kommst Du mit einem Linksklick in das Foto […]

Der Beitrag Telegram 2.8.8 für Desktop enthält kleine Bildbearbeitung ist von bitblokes.de.

Die Mehrheit bleibt halt doch bei WhatsApp

20. Juni 2021 um 17:27
Von: Gerrit

Die Deutschen haben ein zwiespältiges Verhältnis zu Datenschutz. Einerseits ist es total wichtig, andererseits nutzt man WhatsApp, Facebook, Android-Smartphones und Kundenkarten wie Payback.

Vermessen wurde dieses ambivalente Verhältnis in einer Umfrage im Auftrag der dpa. Eine breite Mehrheit von 79 % nutzt den Messenger und 52 % stimmten bereits den neuen Bestimmungen zu. Obwohl ein signifikanter Teil der Befragten Datenschutz-Bedenken hat, haben nur sehr wenige die App wirklich entfernt. Nur 28 % haben keinerlei Datenschutz-Bedenken.

Das kommt nicht wirklich überraschend, ebenso wie die Bedeutung von Signal als wichtigster Alternative zu WhatsApp. Bedenklich ist aber die Feststellung, nach der in etwa genau so viele Befragte Telegram für eine gute Alternative halten (was es nicht ist). Wirklich lustig wird es bei den 13 %, die einen Wechsel auf Facebook Messenger in Erwägung ziehen. Klar, warum auch nicht. Im innersten Kreis der Hölle muss man sich schon keine Gedanken mehr über Ambivalenzen machen.

Grundsätzlich kann ich verstehen, dass man WhatsApp die Treue hält, da abstrakte Datenschutz-Bedenken gegen das Gefühl der sozialen Isolation bei einer vollständigen Abkehr von WhatsApp aufgewogen werden. Ich persönlich empfehle immer die Parallel-Nutzung mehrerer Messenger für den Umstieg. Vielleicht schafft man es dann sogar, WhatsApp nicht mehr als primären Messenger zu nutzen.

Vor allem die 13 % für den Facebook-Messenger und die hohen Werte für Telegram zeigen, wie weit der Weg noch ist für ein Fakten-gestützes Datenschutzbewusstsein in Deutschland.

Vermutlich wird uns aber WhatsApp so lange erhalten bleiben, bis die Kommunikationskanäle sich ein gänzlich neues Medium – jenseits klassicher Messenger – suchen und die Mehrheiten sich umverteilen. Was auch immer das dann sein wird. Möglicherweise kauft Facebook diese neue Alternative dann auch wieder auf, weil die Kartellbehörden immer noch mehr über Industrieregulierung nachdenken als über die Wirtschaftszweige der Gegenwart und das Drama entwickelt sich weiter.

Der Artikel Die Mehrheit bleibt halt doch bei WhatsApp erschien zuerst auf [Mer]Curius

AN0M – die Kryptofalle des FBI – Podcast-Empfehlung (48 Minuten)

19. Juni 2021 um 08:29
Von: jdo

Ich mag die ARD Audiothek echt gerne. Serien wie Kein Mucks sind einfach Klasse und auch Satire Deluxe finde ich ganz unterhaltsam. Du findest dort aber auch Sendungen über True Crime und ein neuer Podcast hat sofort mein Interesse geweckt: AN0M – die Kryptofalle des FBI (klick). Mit der Android-App kannst Du die meisten Podcasts übrigens auch herunterladen und offline hören, sollte das notwendig sein. Auf der Website gibt es einen Download-Link. AN0M war im Prinzip ein Trick des FBI. […]

Der Beitrag AN0M – die Kryptofalle des FBI – Podcast-Empfehlung (48 Minuten) ist von bitblokes.de.

Telegram – Sicher ist was anderes

30. Mai 2021 um 17:01
Von: Gerrit

Es gibt viele tolle Alternativen zu WhatsApp: Signal, Threema, für gewisse Szenarien sogar Matrix oder XMPP. Und es gibt Telegram. Ein unsicherer, intransparenter Messenger ohne Vorteile gegenüber WhatApp, der völlig ohne Faktenbasis in manchen Kreisen als „sicher“ gehandelt wird.

Mir ist durch ein paar Kommentare unter einem Blogartikel aufgefallen, dass ich noch nie dezidiert über Telegram geschrieben habe. Vermutlich, weil ich davon ausging, dass die Leser dieses Blogs informiert genug sind, um nicht auf so einen pseudo-sicheren Messenger wie Telgram reinzufallen.

In zwei Artikeln habe ich mich aber schon mal ein bisschen dazu geäußert. Wer diese Artikel gelesen hat, bekommt jetzt inhaltlich vor allem ein bisschen Wiederholung:

  1. Kommentar: Telegram ist unsicher – welch Überraschung
  2. WhatsApp und seine Alternativen – Herdentrieb oder steuerbare Bewegung?

Telegram bewirbt sich auf seiner Webseite unter anderem als Privat, weil verschlüsselt, Offen, weil API und Quelltext offen sind und Sicher. Wie sich zeigen wird sind das interessante Interpretationen der Faktenlagen bzw. geschickte PR in eigener Sache.

Sicherheit bedeutet im Kontext von Messengern vor allem Ende-zu-Ende-Verschlüsselung und die Reduktion von Metadaten. Beides ist bei Telegram höchst mangelhaft.

Telegram – Von technischen Defiziten bis Intransparenz ist alles dabei

Keine Verschlüsselung

Für die Sicherheit bzw. die Verschlüsselung setzt Telegram auf eine Eigenentwicklung, genannt MTProto Mobile Protocol. Es gibt meines Wissens nach keinen anerkannten Sicherheitsexperten, der dieses Protokoll gut findet. Es gibt einen Sicherheits-Audit von 2017, den man als streckenweise vernichtend bezeichnen kann. Danach gab es zwar Entwicklung bei Telegram und eine neue Version des Protokolls, aber ein neuer unabhängiger Audit liegt nicht vor. Das ist auch unerheblich, da Telegram standardmäßig nicht verschlüsselt, sondern nur für sogenannte „Geheime Chats“ und für Gruppen-Chats ist eine Verschlüsselung sogar überhaupt nicht möglich. Telegram gehört somit zu den wenigen Messengern, die nicht standardmäßig E2E verschlüsseln. Im Grunde genommen kann man hier eigentlich schon aufhören zu berichten.

Datensparsamkeit Fehlanzeige

Telegram speichert aber auch noch massenhaft Daten. Von dem Versuch Meta- oder Inhaltsdaten zu vermeiden, ist absolut nichts zu erkennen. Sofern man das auf Basis der sehr schmalen Datenschutzerklärung sagen kann. Abgesehen von „Geheimen Chats“ werden alle Inhalte auf den Servern gespeichert. Es gibt zwar eine Transportverschlüsselung und eine Verschlüsselung auf dem Server, aber ohne E2E-Verschlüsselung kann der Betreiber (und potenziell auch Dritte) die Inhalte problemlos einsehen. Kontakte und Telefonnummern werden im Klartext übertragen und gespeichert. Eine Löschung müsste der Nutzer manuell über die App vornehmen. Die Status-Funktion lässt sich zudem ziemlich einfach massenhaft tracken (siehe auch die entsprechende Heise-Meldung).

Open Source nur für die Apps

Mit der beworbenen Offenheit von Telegram ist es zudem nicht weit her. Clients und API sind quelloffen bzw. offengelegt, aber die Server-Infrastruktur ist proprietär und entzieht sich der Prüfung. Die quelloffenen Clients sind zwar nice-to-have aber ohne die Server-Infrastruktur ist Telegram damit auch nicht transparenter als WhatsApp und definitiv gegenüber Signal im Nachteil.

Intransparente Firma

Die fehlende Quelloffenheit ist umso gravierender, da Telegrams Hintergrund bestenfalls als dubios bezeichnet werden kann (In der SZ gab es vor einiger Zeit ein lesenswertes Portrait über Pawel Durow). Es gibt kein Impressum und laut FAQ ist der Sitz zur Zeit in Dubai, aber man gibt keine Gewähr für die Zukunft. Die Finanzierung ist auch bestenfalls interessant, um nicht zu sagen höchst intransparent. Der größte bekannte Geldgeber ist der Staatsfond von Abu Dhabi. Eine absolutistische Monarchie (also Diktatur im Monarchie-Mantel) und Teil der VAE. Natürlich steckt Petro-Geld vom Golf in vielen Firmen, aber die Finanzierung eines sicheren und unabhängigen Messengers, dem Dissidenten und Oppositionelle auf der Welt vertrauen, sieht für mich anders aus.

Zusammengefasst: Unsicher

Die problematische Sicherheit von Telegram ist zudem keine Debatte im luftleeren Raum. Wenig faktengestützte PR und irreführende Empfehlungen haben schon real Menschen gefährdet. Das war beispielsweise bei den Protesten in Hongkong vorletztes Jahr ein Thema.

Gibt es also gar nichts, was für Telegram spricht? Manche würden es als Vorteil sehen, dass im Telegram-Netz libertäre Meinungsfreiheit herrscht. So ziemlich jede Verschwörungsideologen-Gruppe hat einen Telegram-Kanal. Das gleiche gilt für rechtsextreme Netzwerke. Da muss jeder für sich bewerten, ob er sich in so einer Gesellschaft bewegen möchte. Das gilt aber gleichermaßen für alle anderen öffentlichen Räume im Internet. Ein weiterer Vorteil sind die vielen Clients für nahezu jedes Betriebssystem, was vor allem praktisch ist, wenn man nicht Android oder iOS nutzt.

Wer aber glaubt mit der Nutzung von Telegram seine Sicherheit zu verbessern, nutzt vermutlich auch VPN zur Anonymisierung und motzt auf Twitter über Facebook. Oder anders gesagt: Telegram taugt nur für eingebildete Sicherheit. Manchen reicht das ja schon.

Aber eines ist Telegram ganz bestimmt nicht: Objektiv sicher. In absolut keiner Definition von Sicherheit! Schon gar nicht sicherer als Signal oder Threema und eigentlich auch nicht sicherer als WhatsApp.

Der Artikel Telegram – Sicher ist was anderes erschien zuerst auf [Mer]Curius

Messenger: Signal hängt Threema ab?

30. Mai 2021 um 13:14
Von: Gerrit

Das Feld der Messenger ist momentan so offen wie schon lange nicht mehr. WhatsApp dominiert den Markt, aber verliert momentan stärker an Zuspruch denn je. Die Bewegung scheint zu Signal zu gehen und Threema wird abgehängt.

WhatsApp-Alternativen gab es schon immer und spätestens seit dem Kauf durch Facebook versuchen Datenschützer die Menschen von Alternativen zu überzeugen. Lange verhallten diese Ruf, doch manchmal nimmt die Entwicklung ungeahnte Wendungen. Die Einführung der neuen Nutzungsbedingungen hat eine bisher ungeahnte Wechselwelle in Gang gesetzt. Das Medienecho ging weit über die IT-Welt hinaus und die Auswirkungen waren so stark, dass Facebook zuletzt zurückruderte und auf die Durchsetzung der neuen AGBs verzichten möchte.

Für Facebook ist diese Entwicklung sehr gefährlich. Im Gegensatz zu den anderen IT-Giganten hat das Unternehmen einen durchweg schlechten Ruf, hat massiv unter den Fake-News-Debatten der letzten Jahre gelitten und das Kernnetzwerk verliert rasant an Bedeutung. Das schlägt sich nicht so sehr in den Nutzungszahlen wieder, aber die Berichte, dass Facebook nur noch ein Tummelplatz von „Boomern“ und Unternehmen ist, nehmen zu. Würden jetzt noch Instagram und WhatsApp Nutzer verlieren, wäre das eine Katastrophe, die zum Implodieren des Konzerns führen würde.

Bei den WhatsApp-Alternativen war ich immer ein großer Befürworter von Threema. Signal und Threema sind beide sehr gute Alternativen, aber bei Threema habe ich die transparente Finanzierung des Unternehmens und der Entwicklung geschätzt und die Möglichkeit, einen Identifikator jenseits der Telefonnummer zu nutzen. Das war mir sogar wichtiger als das Kriterium Open Source, denn trotz der leidigen Debatte um den Servercode hat hier natürlich Signal die Nase vorn. Die Entwicklung von Signal folgt mir aber ein bisschen zu oft den eigenwilligen Entscheidungen von Moxie Marlinspike, z. B. bei der Verfügbarkeit auf F-Droid.

Wenn ich mir die Bewegung in den letzten Monaten so ansehe, geht diese allerdings ziemlich eindeutig in Richtung Signal. Ich habe das mal grob überschlagen und 80% meiner Kontakte sind auf WhatsApp, 30% haben Signal und lediglich eine Handvoll Threema. Hier gab es auch überhaupt keinen Zuwachs zwischen Februar und heute, während Signal massiv gewonnen hat und sogar einige Gruppe von WhatsApp nach Signal umgezogen wurden.

Die Ursachen sind mir nicht so ganz klar, aber Shitstorms und die Zielrichtung von Massenbewegungen sind ja oft nicht ganz nachvollziehbar. Wir können ja schon froh sein, dass endlich Telegram als das wahrgenommen wird, was es ist: Der noch schlechtere Messenger als WhatsApp.

Mich würden eure Erfahrungen interessieren, sofern ihr ebenfalls alle drei Messenger nutzt (oder auch noch andere). Läuft die Entwicklung auch eher auf Signal zu oder ist das bei euch differenzierter?

Der Artikel Messenger: Signal hängt Threema ab? erschien zuerst auf [Mer]Curius

Föderierte Messenger – Konzeptionelle Probleme am Beispiel Matrix

11. Mai 2021 um 19:56
Von: Gerrit

Föderierte Systeme sind in einigen Kreisen gerade sehr angesagt. Das Konzept ist nicht neu, hat aber mit Matrix (Element), Mastodon und anderen Instanzen des Fediverse inzwischen neue prominente Vertreter. Hinsichtlich Datenschutz und digitaler Privatsphäre haben diese Systeme aber strukturelle Probleme.

Föderiert vs. Zentral

Föderierte Systeme sind das Gegenteil von zentralisierten Systemen, die von ihren Kritikern auch gerne als „Walled Gardens“ bezeichnet werden. Zentralisierte Systeme werden so bezeichnet, da in ihrem Kern eine zentral verwaltete Serverinfrastruktur steht, über welche die beteiligten Clients miteinander kommunizieren. Das System nutzen nahezu alle proprietären Dienste, aber auch freie Systeme wie Signal.

Föderierte Systeme bestehen dagegen aus einem Netz unabhängiger Server, auf denen dieselbe bzw. eine kompatible Software läuft, die miteinander kommunizieren und gewissermaßen ein Netz bilden. Das System kennt eigentlich jeder Anwender, da die E-Mail so funktioniert. Praktisch gesagt: Während man von WhatsApp zu Signal keine Nachricht schreiben kann, geht das von GoogleMail zu Posteo natürlich schon. Im Messenger-Bereich ist es auch nichts wirklich neues, denn XMPP („Jabber“) funktioniert ebenfalls nach diesem System.

Ein föderiertes System ist beim Aspekt der Unabhängigkeit vom zentralen Anbieter unschlagbar. Es wird deshalb vor allem von Befürwortern der digitalen Souveränität gerne hervorgehoben. Bei zentralisierten Systemen wie z. B. Signal hängt alles vom zentralen Betreiber ab. Schaltet Signal seine Server ab, ist das Kommunikationsnetz Signal Geschichte. Die Serversoftware ist zwar quelloffen, aber ein neuer Betreiber könnte nicht automatisch an die Stelle des ehemaligen zentralen Betreibers treten.

Risiken offener Protokolle

Ein grundlegendes Risiko dieser offenen Protokolle zeigt schon ein Blick auf die Geschichte von XMPP. Ist die Entwicklung noch jung, gibt es meist nur einige wenige Clients und eine Serversoftware. Die Zahl der Betreiber und Nutzer ist ebenso noch recht gering. Neue Funktionen und Änderungen am Protokoll werden schnell verteilt und erreichen schnell alle beteiligten Anwender.

Mit der Zeit differenzieren sich die Softwarelösungen aber immer mehr aus. Genau das finden die Befürworter solcher Systeme ja auch gut. Änderungen und sinnvolle Weiterentwicklungen brauchen immer mehr Zeit, um alle Beteiligten zu erreichen. Es wird immer mehr zurückhängende Instanzen geben und Inkompatibilitäten im Netzwerk.

Ein Beispiel dafür ist die Einführung von OMEMO bei XMPP, die bis heute nicht alle Clients erreicht hat. Ein anderes Beispiel ist die klassische E-Mail, wo immer noch nicht alle Server standardmäßig Transportverschlüsselung anbieten. Kunden von Posteo konnten vor einigen Jahren einstellen, dass eine E-Mail nicht verschickt wurde, wenn die Gegenseite keine Transportverschlüsselung gewährleistete. Das waren insbesondere in der Anfangszeit ganz schön viele, ist mit der Zeit aber natürlich weniger geworden.

Systembedingte Probleme

Die Zeit kann aber nicht alle Probleme lösen. Einige Schwierigkeiten sind systemimmanent und können nicht sinnvoll überwunden werden. Sobald man Matrix nutzt, ist man Teil des föderierten Netzwerkes. Die einzelnen Instanzen müssen miteinander Daten austauschen können, da man ansonsten nur mit anderen Anwendern des Servers kommunizieren könnte, auf dem man selbst registriert ist.

Während man bei einem zentralisierten Anbieter wie Signal nur einem Anbieter vertrauen muss, bedarf der Einsatz von Matrix Vertrauen in alle Anbieter von Matrix-Serverinfrastruktur. Das ist umso gefährlicher, weil Metadaten-Vermeidung strukturell bei verteilten Infrastrukturen aufgrund der Einbeziehung vieler Server und Clients schwierig ist.

Ein paar praktische Beispiele: Alle an einer Kommunikation beteiligten Matrix-Server speichern beispielsweise theoretisch unbegrenzt die komplette Kommunikation. Umso bedenklicher, da einige Clients des heterogenen Ökosystems (siehe Nachteile solcher Netzwerke oben) wie KDEs NeoChat nicht mal Verschlüsselung beherrschen. Gleichwohl würde das sowieso nur die Inhalte und nicht die Metadaten schützen. Man kann Nachrichten zwar löschen, aber technisch handelt es sich dabei lediglich um eine Art „Löschwunsch“ an andere Server, ob diese das auch umsetzen, entzieht sich der Kontrolle.

Der Homeserver, auf dem man sein Konto angelegt hat, speichert zudem noch deutlich mehr: Kontaktliste, Mitgliedschaften in Gruppenchats, Nachrichtenverläufe usw. Diesem Betreiber muss man extrem vertrauen. Allerdings hat man hier wenigstens ein wenig Steuerungsmöglichkeit.

Nicht das Ende der Probleme

Dabei handelt es sich noch nicht mal um das Ende der Fahnenstange. Es gab im Gegensatz zu Signal oder Threema keinen Audit der kompletten Infrastruktur, sondern nur 2016 der E2E-Verschlüsselungslösung. Die Implementierung von E2E-Verschlüsselung in den Clients steht noch auf einem ganz anderen Papier. Oft ist ja nicht die Verschlüsselung das Problem, sondern die Umsetzung im Client. Ein Problem das vor allem bei so heterogenen Ökosystemen natürlich zum Problem wird, weil man nicht weiß was die anderen Beteiligten für Software nutzen.

Die Finanz- und Entwicklungsstruktur der zentralen Bausteine sind auch kein Beispiel für Transparenz. Matrix bzw. Element (ehm. Riot) wird primär von der New Vector Ltd. entwickelt. Eine Firma, die nicht gerade die transparenteste Finanzsituation hat. Hier ist man gegenüber Signal oder auch Telegram nicht im Vorteil.

Alles schlecht? Nein, aber die falsche Außendarstellung

Sind föderierte Kommunikationssysteme im Allgemeinen und Matrix im Speziellen deshalb schlecht? Nein! Zumindest wenn man die richtige Perspektive wählt und keine falschen Erwartungen weckt.

Zentrale Systeme haben Nachteile, weil man sich abhängig von einem Betreiber macht. Im Hinblick auf eine digitale Souveränität des Individuums, kleiner Gruppen, Firmen oder gar Staaten können föderale Systeme einen Ausweg bieten. Je nach Anforderungen und Wünschen ist das ein interessantes Angebot.

Das hat aber alles nichts – wirklich gar nichts – mit Datenschutz und digitaler Privatsphäre zu tun! Wer bei dieser langen Liste von Defiziten und Problemen zum aktuellen Zeitpunkt Matrix als Privatsphären- und Datenschutz-freundliche Alternative zu Signal oder Threema bewirbt, hat ganz gewaltige Scheuklappen auf. Ich finde es erschreckend wie viele Kommentatoren sich hier vom Begriff der digitalen Souveränität und dem Open Source-Charakter blenden lassen.

Der Artikel Föderierte Messenger – Konzeptionelle Probleme am Beispiel Matrix erschien zuerst auf [Mer]Curius

Messenger-Wechsel – Nur kurze Zeitfenster

08. Mai 2021 um 13:40
Von: Gerrit

Vor wenigen Monaten erregte WhatsApp bzw. Facebook wieder einmal die Gemüter. Anlass war der neuerliche Anlauf, über neue Nutzungsbedingungen Daten stärker zu verwerten.

Im Unterschied zu früheren Stürmen im WasserTwitter-Glas gab es dieses Mal merkbare Effekte. Ich schrieb bereits damals darüber. Die Zahl meiner Signal-Kontakte stieg deutlich an und dabei handelte es sich nicht um die üblichen Verdächtigen.

Die Episode zeigt aber auch, wie kurz die Zeitfenster solcher Ereignisse sind. Fast alle meine Kontakte wechselten binnen 7-14 Tagen auf Signal. Von einigen Nachzüglern abgesehen, die vermutlich später unter dem Druck irgendeiner umgezogenen Gruppe doch noch nachzogen, ebbte das Phänomen schnell wieder ab. Wer also auf dem Höhepunkt einer Medienberichterstattung nicht in die Initiative ergreift, verpasst schnell den Zeitpunkt, an dem andere wechselwillig sind.

Gleichzeitig handelte es sich ausnahmslos um keinen Wechsel, sondern um eine Ergänzung. Niemand in meiner Kontaktliste löschte sein WhatsApp-Konto. Einzelne Konversationen und Gruppen wurden auf Signal umgezogen, aber alle Kontakte blieben prinzipiell auch über WhatsApp erreichbar. WhatsApp-Statusmeldungen und die Reaktionsmöglichkeit auf selbige ließen zudem doppelte Konversionsstränge in beiden Messengern entstehen.

Im Ergebnis gibt es nun bei vielen meiner Kontakte mehr Vielfalt und das ist gut. WhatsApp bleibt aber das primäre Kommunikationsmittel, um wirklich jeden zu erreichen. Es ist illusorisch zu glauben, dass sich dies ändert. Lediglich ein kompletter Technologie-Schwenk könnte hier Facebook treffen. Das soziale Netzwerk selbst ist schließlich auch schon wie ausgestorben.

Umso wichtiger ist eine engmaschige Kontrolle von Facebook durch die Datenschutzaufsicht und die Verhinderung eines Aufkaufs neuer Player durch die Kartellbehörden. Ansonsten wird sich Facebook dank seiner Kapitalstärke immer weiter hangeln. So wie sie sich vom eigentlichen Hausnetzwerk „Facebook“ zu Instagram und WhatsApp gerettet haben. Beides ist leider aktuell nicht in Sicht. Beim Datenschutz blockiert die irische Aufsicht durch Untätigkeit und bei den Übernahmen stecken noch zu viele Kartellbehörden im Zeitalter der Industriebarone fest.

Der Artikel Messenger-Wechsel – Nur kurze Zeitfenster erschien zuerst auf [Mer]Curius

Telegram nun mit Lösch-Timer und Startbildschirm-Widgets

24. Februar 2021 um 07:03
Von: jdo

Es gibt eine neue Version der beliebten Messenger-App Telegram, die doch ordentlich neue Funktionen mit sich bringt. Eine der wichtigsten Neuerungen ist das automatische Löschen in alle Chats. Bei Telegram kannst Du Nachrichten löschen und zwar bei allen teilnehmenden Parteien. In den Secret Chats ist bereits seit 2013 ein Selbstzerstörungs-Mechanismus implementiert. Nun funktioniert das automatische Löschen auch bei allen Konversationen. Derzeit ist es möglich, Nachrichten automatisch nach 24 Stunden oder 7 Tagen nach dem Senden löschen zu lassen. Der Unterschied […]

Der Beitrag Telegram nun mit Lösch-Timer und Startbildschirm-Widgets ist von bitblokes.de.

Whatsapp will Nutzer nach dem 15. Mai unter Druck setzen

23. Februar 2021 um 15:09

Wer nicht bis zum 15. Mai 2021 der neuen Whatsapp-Datenschutzerklärung zustimmt, soll mit eingeschränkten Funktionen zum Zustimmen gebracht werden.

Bis 15. Mai 2021 müssen Whatsapp-Nutzer den neuen Nutzungsbedingungen des Messengers zustimmen. Doch was passiert, wenn diese das nicht tun? In FAQ gibt Whatsapp Antworten. Demnach wird das Konto nach dem 15. Mai 2021 stark eingeschränkt und nicht sofort gelöscht.

Für eine kurze Zeit könnten noch Anrufe entgegengenommen werden. Auch Benachrichtigungen würden kurzzeitig weiter angezeigt, allerdings können diese weder im Messenger selbst angesehen noch auf die Nachrichten geantwortet werden, betont Whatsapp in den FAQ. Es sei jedoch möglich, auch nach dem 15. Mai den neuen Nutzungsbedingungen zuzustimmen.

Auf diese Weise versucht Whatsapp, eine Nutzerabwanderung zu anderen Messengern wie Signal, Threema oder Telegram zu verhindern und Druck auf die Nutzer auszuüben, den neuen Datenschutzbestimmungen doch noch zu folgen: Denn wer möchte eine wichtige Nachricht unbeantwortet lassen?

Die eingeschränkten Funktionen sollen nur für einen kurzen Zeitraum aktiv sein. Laut dem Onlinemagazin Techcrunch soll es sich dabei um mehrere Wochen handeln. Anschließend soll der Whatsapp-Account deaktiviert und wie üblich nach 120 Tagen Nichtnutzung gelöscht werden.

Ebenfalls soll ein Export der bisherigen Nachrichten nach dem 15. Mai 2021 nicht mehr möglich sein. So können die bisher gesendeten und empfangenen Nachrichten schlicht nicht mehr eingesehen werden. Auch ein Export und anschließender Import in andere Messenger ist nicht mehr möglich. Eine solche Funktion bietet beispielsweise Telegram an.

Es lohnt sich, die Chats also vor dem 15. Mai 2021 zu exportieren. Ob man sie jedoch in Messenger wie Telegram importieren sollte, steht auf einem anderen Blatt. So speichert Telegram standardmäßig alle Nachrichten ohne Ende-zu-Ende-Verschlüsselung auf seinen Servern und kann dort auf diese zugreifen, während Whatsapp, Signal und Threema die Nachrichten durchgängig Ende-zu-Ende-verschlüsseln und nach einer Übertragung auf die jeweiligen Endgeräte vom Server löschen.

Die Nachrichten können also nur auf den Endgeräten entschlüsselt werden und liegen auch nur hier vor. Entsprechend dürften einige Whatsapp-Nutzer wenig begeistert sein, wenn ihre bis dato geschützten Nachrichten plötzlich auf den Servern von Telegram landen – ohne Ende-zu-Ende-Verschlüsselung.

Der Beitrag Whatsapp will Nutzer nach dem 15. Mai unter Druck setzen erschien zuerst auf Linux-Magazin.

Whatsapp will neues Ultimatum besser erklären

19. Februar 2021 um 10:06

Um eine Nutzerabwanderung zu verhindern, möchte Whatsapp klarer kommunizieren, zieht aber über andere Messenger wie Signal her und lässt viele Fragen offen.

Whatsapp weist erneut mit einem Banner auf seine geänderten Nutzungsbedingungen hin. Diesen müssen die Nutzer bis zum 15. Mai zustimmen, andernfalls können sie den Messenger nicht mehr benutzen. Diesmal sollen die Änderungen jedoch klarer kommuniziert werden.

Bereits im Januar hatte Whatsapp seine Nutzer auf die neuen Nutzungsbedingungen hingewiesen und damals eine Frist bis zum 8. Februar gesetzt. Das Verhalten und die unklare Kommunikation hatten einen Sturm der Entrüstung verursacht und viele Nutzer zum Wechsel zu Signal, Threema, Telegram und manche sogar zu ICQ bewogen.

Mit diesem Banner will Whatsapp seine Nutzer über die Änderungen informieren. Quelle: Whatsapp

“Wir verstehen, dass aktuell einige Personen möglicherweise andere Apps ausprobieren, um herauszufinden, was diese zu bieten haben”, gibt sich Whatsapp in einer Ankündigung der neuen Nutzungsbedingungen geläutert. Dort und in einem neuen Pop-up, in dem die Whatsapp-Nutzer über die Änderungen informiert werden, verweist Whatsapp vor allem auf seine durchgehende Ende-zu-Ende-Verschlüsselung.

Diese fehle anderen Messengern, die zwar mit mehr Sicherheit werben würden, letztlich aber die Nachrichten der Nutzer mitlesen könnten – im Gegensatz zu Whatsapp. Ein klarer Seitenhieb auf den Messenger Telegram, der allerdings nicht namentlich genannt wird.

“Andere Apps behaupten, besser zu sein, da sie sogar noch weniger Informationen hätten als Whatsapp. Wir glauben, dass die Menschen Apps möchten, die sowohl zuverlässig als auch sicher sind”, schreibt Whatsapp. Dafür benötige man lediglich eine eingeschränkte Menge an Daten.

Die Aussage, was hier der Vorteil von Whatsapp gegenüber Signal und Threema sein soll, die definitiv weniger Daten erheben, bleibt Whatsapp schuldig. Auch den versprochenen Klartext.

Neben der Ende-zu-Ende-Verschlüsselung betont Whatsapp den Anlass der Änderung der Nutzungsbedingungen: Die Plattform soll weiter für die Kommunikation mit Unternehmen und für Einkäufe geöffnet werden, teils mit Facebook-Anbindung. Für diese verlangt Whatsapp Geld und will sich so refinanzieren. Die Chats mit Unternehmen seien für Nutzer optional und klar gekennzeichnet, verspricht Whatsapp.

Ansonsten ändert sich insbesondere für Europäer in Sachen Datenschutz nicht viel. Daten wurden schon vor der aktuellen Änderungen mit Facebook geteilt, allerdings nicht “zur Verbesserung von Facebook-Produkten oder Werbung”. Das gilt allerdings nur für Europa und nur momentan. 

Doch in der geänderten, europäischen Datenschutzerklärung von Whatsapp heißt es gleichzeitig: “Wir haben berechtigte Interessen, personenbezogene Daten zu folgenden Zwecken zu verarbeiten: Zur Förderung der Produkte von Facebook-Unternehmen und zum Versenden von Direktwerbung.” Also genau das, was Whatsapp verspricht, nicht zu tun. Klartext ist die Kommunikation von Whatsapp jedenfalls weiterhin nicht. Zum Glück gibt es ja Alternativen wie Signal oder Threema – die laut Whatsapp jedoch schlechter sind, weil sie weniger Daten sammeln

Der Beitrag Whatsapp will neues Ultimatum besser erklären erschien zuerst auf Linux-Magazin.

Threema 4.5 für Android – jede Menge neue Funktionen / globale Suche

04. Februar 2021 um 09:12
Von: jdo

Eine neue Version des Messengers Threema sehe ich immer gerne. Ich nutze den Messenger auch immer mehr und Threema 4.5 bietet viele neue Funktionen. Das Team stellt die neuen Versionen in einem separaten Beitrag vor. Hier kurz die Highlights. Globale Suche in Threema 4.5 Die globale Suche macht genau das, was Du vermutest. Sie beschränkt sich nicht auf einzelne Chats, sondern Du kannst alle auf einmal durchsuchen. In der Chat-Übersicht tippst Du einfach rechts oben auf die drei horizontalen Punkte. […]

Der Beitrag Threema 4.5 für Android – jede Menge neue Funktionen / globale Suche ist von bitblokes.de.

Signal Messenger bekommt Update

26. Januar 2021 um 09:31

Whatsapp hat mit den umstrittenen Änderungen seiner Nutzungsbedingungen den Alternativen wie dem freien Signal massenhaft Nutzer eingebracht. Nun gibt es für den Messenger Signal ein Update mit vielen neuen Funktonen.

Unter den optischen Neuerungen finden sich animierte Sticker in einer ersten offiziellen Sammlung namens Day-by-Day. Sie stammt von Miguel Ángel Camprubí. Es ist auch möglich, eine eigene APNG-Sticker-Sammlung anzulegen, heißt es in den Release Notes zur Version 5.3 für Apple-Geräte. Außerdem lassen sich Hintergründe auswählen. Das funktioniert separat für einzelne Unterhaltungen oder in Form eines Standard-Hintergrunds für alle Unterhaltungen. Im Signal-Profil lassen sich nun Informationen zur Person speichern und teilen.

Verbesserungen gibt es auch in der Performance. So lassen sich die Downloads von Anhängen während eines Anrufs pausieren, um Bandbreite zu sparen. Außerdem haben die Entwickler die Bildkompression und -qualität optimiert.

Zudem können Signal-Unterhaltungen beim Teilen durch andere Apps als Vorschläge angezeigt werden.

Profilbilder anderer Teilnehmer lassen sich durch antippen vergrößern und die Vorschau von Unterhaltungslisten zeigt nun den Absendernamen in Gruppenunterhaltungen an.

Signal ist freie Software, der Quellcode liegt bei Github.

Der Beitrag Signal Messenger bekommt Update erschien zuerst auf Linux-Magazin.

NeoChat als Flatpak verfügbar

11. Januar 2021 um 14:23

Neochat ist ein neuer Client für das Matrix-Netzwerk. Noch sind nicht alle Funktionen, aber die GUI stimmt hoffnungsvoll. Ein Flatpak erlaubt einen ersten Test.

Threema macht Threema-Apps Open Source

22. Dezember 2020 um 11:49

Die in der Schweiz beheimatete Threema GmbH hat ihren Krypto-Messenger teilweise zu Open Source gemacht. Wie das Unternehmen mitteilt, ist der Quellcode der Threema Apps nun verfügbar. Die Server-Komponenten bleiben aber proprietär.

Den Schritt hin zu Open Source hatte Threema bereits vor einigen Monaten angekündigt. Threema will mit diesem Schritt um Vertrauen werben. Auf der für die Offenlegung des Codes eingerichteten Seite heißt es: Threemas kryptografische Verfahren sind detailliert dokumentiert, und regelmäßig werden externe Experten damit betraut, umfassende Sicherheitsaudits durchzuführen. Es ist aber nicht erforderlich, unseren Aussagen zu glauben oder auf die Einschätzung Dritter zu vertrauen. Um volle Transparenz zu gewährleisten, sind die Threema-Apps Open Source.

Das Geschäftsmodell ändert sich dadurch aber nicht. Threema bleibt kostenpflichtig. Weil der Server nicht frei verfügbar ist, kann der Messenger auch nicht selbst gehostet werden. Threema erhofft sich vielmehr den Aufbau einer Vertrauensbasis zu den Nutzern. Die Offenlegung der Quellen feiert Threema mit einem Rabatt auf den Messenger in den jeweiligen App-Stores. Die Aktion dauere noch bis 28. Dezember, teilt Threema mit.

Der Beitrag Threema macht Threema-Apps Open Source erschien zuerst auf Linux-Magazin.

Threema ab sofort Open Source – kurze Zeit 50 % Rabatt

21. Dezember 2020 um 09:17
Von: jdo

Die Entwicklerinnen und Entwickler von Threema haben verlauten lassen, dass die Thrrema-Apps ab sofort Open Source sind. Angekündigt wurde der Schritt schon länger. Ebenfalls soll bald eine Desktop-App folgen. Derzeit ist der Messenger nur für Android und iOS verfügbar. Es gibt aber eine Web-Version, die im Browser läuft. Das Team arbeitet derzeit außerdem an Multi-Gerät-Unterstützung, die als technische Herausforderung bezeichnet wurde. Auf jeden Fall senkt Threema die Preise zum Open-Source-Einstand bis zum 28. Dezember 2020 um 50 %. Bei Open […]

Der Beitrag Threema ab sofort Open Source – kurze Zeit 50 % Rabatt ist von bitblokes.de.

Signal kann bald Videokonferenzen

14. Dezember 2020 um 11:26

Das Entwicklerteam von Signal arbeitet an einem Gruppenanruf – natürlich mit Ende-zu-Ende-Verschlüsselung. Eine Beta-Version gibt es bereits.

Das Entwicklerteam hinter dem freien Messenger Signal arbeitet einer Ende-zu-Ende-verschlüsselten Gruppen-Videochat-Funktion. Das gab der Hauptentwickler Moxie Marlinspike kürzlich in einem Interview bekannt. Am Abend des 10. Dezember fand sich eine entsprechende Ankündigung auch in den Release-Notes von Signal Desktop, dem Desktop-Client des Messengers. Am Freitagmorgen, dem 11. Dezember war die Information jedoch wieder verschwunden.

Lange dürfte es jedoch nicht mehr dauern, bis die Funktion bei Signal-Nutzenden Einzug hält. Im Beta-Programm von Signal kann sie bereits getestet werden. Damit wäre Signal einer der ersten Ende-zu-Ende-verschlüsselten Videokonferenzdienste, deren Fokus absolut auf Datenschutz und Privatsphäre liegt.

Ein Gruppenanruf kann über eine bestehende oder neu eingerichtete Signal-Gruppe im neuen V2-Format per Knopfdruck gestartet werden. In der aktuellen Beta-Version unterstützt Signal bis zu fünf Teilnehmende. Die Funktion soll sowohl in der App als auch im Desktop-Client zur Verfügung stehen – bisher können jedoch nur Beta-Nutzer angerufen werden.

Bereits vor einiger Zeit hat Signal ein neues Gruppenformat eingeführt (Gruppen V2), die auch die Grundlage für die neue Videokonferenzfunktion bilden. Zuvor gab es genau genommen gar keine Gruppen in Signal, nur ganz normale Nachrichten, die an mehrere Personen geschickt wurden. In diesen stand – natürlich verschlüsselt -, dass es sich um eine Nachricht an eine Gruppe handelte. 

Das hatte den Vorteil, dass der Server nur Nachrichten verteilen musste, sich aber nicht mit den Metadaten einer Gruppe auseinandersetzen musste: Wer ist Mitglied der Gruppe? Wer wurde gelöscht? Diese Daten liegen bei den meisten Messengern unverschlüsselt auf dem Server, auch wenn die Nachrichten selbst Ende-zu-Ende-verschlüsselt werden – oder wie im Fall von Telegram nicht einmal das. 

Das Nachrichten-statt-echte-Gruppen-System von Signal hatte jedoch auch Nachteile: Zum einen skaliert es nicht besonders gut, sprich, es ist nur für eine beschränkte Anzahl von Personen in jeder Gruppe ausgelegt. Zum anderen gibt es keinen Gruppenverwalter. Signal hat mit einem Forschungsteam von Microsoft ein System entwickelt, bei dem die Metadaten verschlüsselt auf dem Signal-Server abgelegt werden und nur von den Gruppenmitgliedern eingesehen werden können.

Die alten Gruppen werden nun nach und nach auf das neue Format migriert, mit dem sich die Gruppen administrieren lassen, einzelne Mitglieder einer Gruppe über sogenannte @mentions direkt ansprechen lassen oder Einladungslinks verschickt werden können – und bald sind auch Gruppenanrufe möglich. So wird Signal zu einer sicheren Alternative zu den gängigen Videokonferenzdiensten.

Der Beitrag Signal kann bald Videokonferenzen erschien zuerst auf Linux-Magazin.

Android: Viele Apps verwenden Bibliothek mit Sicherheitslücke

07. Dezember 2020 um 12:24

Die Lücke in der Google-Bibliothek wurde bereits im März gepatcht, dennoch setzen viele Android-Apps ältere Versionen ein. Mit ihr lassen sich beispielsweise Messenger-Nachrichten auslesen.

Viele populäre Apps verwenden eine völlig veraltete Version der Play-Core-Bibliothek – diese enthält jedoch eine Sicherheitslücke. Mit dieser können Apps auf die Daten von anderen Apps zugreifen oder die App verändern. Beispielsweise lassen sich Nachrichten von Messengern oder Banking-Apps abgreifen – aber auch alle anderen App-Daten. Dabei ist die Sicherheitslücke seit August bekannt und bereits seit März gepatcht.

Laut der Sicherheitsfirma Checkpoint sind bis heute etliche Apps im Googles Play Store von der Sicherheitslücke betroffen. Darunter die Dating-App Okcupid, Microsofts Edge Browser. Ebenfalls betroffen waren Cisco Webex Teams, Booking.com und die Dating-App Grindr, diese haben ihre Apps jedoch bereits aktualisiert.  Update: Moovit hat ebenfalls eine aktualisierte Fassung herausgegeben, der Artikel ist entsprechend korrigiert.

Veröffentlicht wurde die Sicherheitslücke (CVE-2020-8913) bereits im August durch die Sicherheitsfirma Oversecured. Eine installierte Schad-App kann mit der Sicherheitslücke Schadcode in andere Apps injizieren und auf alle App-Daten zugreifen. Auf diese Weise können beispielsweise Passwörter, Fotos, 2FA-Codes und vieles mehr ausgelesen werden.

“Die Schwachstelle ermöglicht es einem Bedrohungsakteur, bösartigen Code in anfällige Anwendungen einzuschleusen und damit Zugang zu allen Ressourcen auf dem Telefon des Benutzers zu gewähren, die auch in der Hosting-Anwendung vorhanden sind”, erklärt Checkpoint. Das Ausnützen der Lücke sei recht trivial. Der schwierigste Schritt dürfte es sein, die betroffene Person zum Installieren einer entsprechenden Schad-App zu bewegen.

Google hat die Sicherheitslücke bereits im März mit der Version 1.7.2 von Play Core geschlossen. Viele App-Entwickler haben die Bibliothek in ihrer App jedoch seit Monaten nicht aktualisiert. Bei einem Scan im September haben 13 Prozent der Apps im Play Store die Play-Core-Bibliothek verwendet, nur 5 Prozent verwendeten eine aktualisierte Version, während 8 Prozent eine über sechs Monate alte, von der Sicherheitslücke betroffene Version einsetzen.

Der Beitrag Android: Viele Apps verwenden Bibliothek mit Sicherheitslücke erschien zuerst auf Linux-Magazin.

Threema-Quellcode bei Security-Audit als sehr solide gelobt

27. November 2020 um 09:31
Von: jdo

Während man in der EU gerade die Ende-zu-Ende-Verschlüsselung (E2EE) in Messaging-Services wie WhatsApp und Signal verbieten möchte, öffnet Threema langsam seinen Code. In Kürze soll der Source Code von Threema verfügbar sein. Das Team will so transparent wie möglich auftreten und Anwender*innen sollen sich selbst von der Sicherheit überzeugen können. Vorher Security-Audit von Threema Es ist bereits der zweite Security-Audit, den Threema durchführen lässt. Bereits 2019 hat die FH Münster den Quellcode überprüft. 2020 haben sich die Experten von Cure53 […]

Der Beitrag Threema-Quellcode bei Security-Audit als sehr solide gelobt ist von bitblokes.de.

Threema Multi-Gerät-Unterstützung kommt – technische Herausforderung

04. November 2020 um 08:09
Von: jdo

Beim Messenger Threema gibt es derzeit viele gute Nachrichten. Es befinden sich Desktop-Clients in der Entwicklung und auch Multi-Device-Unterstützung kommt. Allerdings wirst Du Dich noch etwas gedulden müssen. Zwar bieten viele Chat- und Messaging-Services wie zum Beispiel Telegram solche Multi-Gerät-Unterstützung an, aber mit Blick auf Sicherheit und Datenschutz ist die Sache komplex. Die Entwickler erklären, dass eine Multi-Device-Lösung von Threema vollständig Ende-zu-Ende-Verschlüsselung (E2EE) haben muss. Der Server darf auch Schlüssel nicht verändern und übertragene Metadaten müssen so gering wie möglich […]

Der Beitrag Threema Multi-Gerät-Unterstützung kommt – technische Herausforderung ist von bitblokes.de.

❌