Archiv für den Monat: Januar 2021

warden

Warden – der Albtraum für Google & Co.

Die Datenkraken Google, Facebook, Amazon und wie sie alle heißen leben davon, so viele Informationen wie möglich von ihren Nutzern abzugreifen, wie irgendwie möglich. Deshalb ist es auch kein Wunder, dass die große Masse der im Google-Play-Store erhältlichen Apps mehr oder weniger viele Tracker eingebaut hat. Diese Tracker sorgen für einen stetigen Strom an persönlichen Daten. Und diese Daten landen nicht in einem großen schwarzen Loch sondern werden erfolgreich zu Geld gemacht.

Tja, und nun wurde vor einiger Zeit von den Jungs bei XDA-Developers eine App entwickelt, die es nicht im Google-Play-Store gibt und dort auch nie geben wird. Warum? Nun, sie passt nicht zu Googles Geschäftsmodell (und widerspricht bestimmt den AGB’s!?) – Die Rede ist von

WARDEN

Warden – der Albtraum für Google & Co. weiterlesen
ExodusPrivacyBanner

Exodus-Privacy – Privatsphäre bei Apps

In einigen meiner Beiträge habe ich auf die Problematik von Trackern in Apps hingewiesen, die sehr viele Apps im Google-Play-Store betreffen. Um dieses Problem zu umgehen, könnte man ausschließlich Apps aus dem freien App-Store F-Droid installieren. Damit wäre sichergestellt, dass keine Tracker in den Apps enthalten sind. Denn bevor eine App in das offizielle Repository von F-Droid aufgenommen wird, wird es einer gründlichen Analyse unterzogen. Und Tracker wären ein absolutes NoGo für die Aufnahme in dieses Repository.

Aber möglicherweise hat man liebgewonnene Apps oder auch solche, für die es keine Alternative bei F-Droid gibt. Und dann möchte man doch die eine oder andere App aus dem Google-Play-Store installieren. Bevor man das tut, ist es empfehlenswert, sich im Browser die Apps anzusehen und dort zu untersuchen, ob und welche Tracker möglicherweise enthalten sind. Natürlich bietet Google nicht von sich aus an, sich die Tracker anzusehen. Entweder, man prüft jede App durch den Besuch der Webseite

https://reports.exodus-privacy.eu.org/en/

und gibt dort den Namen einer fraglichen App ein.

Exodus-Privacy – Privatsphäre bei Apps weiterlesen
Corona Contact Tracing Germany

Corona Warn App ohne Google

Die Bundesregierung hat im Frühjahr 2020 einen Millionen-Auftrag an die Firmen SAP und Telekom vergeben, damit diese eine Corona-Kontaktverfolgungs-App (oder auch Corona-Warn-App) entwickeln. Das haben diese beiden Großkonzerne dann Mitte 2020 auch geschafft und die Corona-Warn-App im Google-Play-Store und im Apple-Store veröffentlicht. Das die App selbst so datenschutzfreundlich geworden ist, lag sicherlich daran, dass Institutionen wie der Chaos Computer Club und andere mit IT-Verständnis die Entwicklung mit Argusaugen beobachtet und Fehlentscheidungen gleich zu Beginn scharf kritisiert haben. Die App kann nämlich nur dann ihren Sinn erfüllen, wenn genügend Nutzer diese installieren und nutzen.

Durch eine datenschutzfreundliche Gestaltung kann man beeinflussen, dass möglicherweise mehr Menschen die App installieren und nutzen wollen. Leider wurde die App aber so entwickelt, dass sie auf eine von Google und Apple zuvor geschaffene Schnittstelle (Apple/Google exposure notification API) setzt, die vorhanden sein muss. Und hier kommt nun das Problem, dass es Smartphones gibt, die solch eine Schnittstelle nicht haben, z.B. neuere Geräte von Huawei. Der Firma wurde verboten, Software von Google auf ihren Geräten zu installieren. Und auch Geräte, auf denen nicht das originale Android von Google läuft, sondern ein sogenanntes Custom-ROM, bei dem absichtlich keine Google-Software zusätzlich installiert wurde. Bei all diesen Geräten kann die Corona-Warn-App nicht installiert und genutzt werden, weil es technisch nicht funktioniert, obwohl der Nutzer sie vielleicht gern installieren und nutzen wollte.

Und dann kam Marvin Wißfeld, der Entwickler von microG und hat im Alleingang das vollbracht, was SAP und Telekom nicht hinbekommen haben. Ein Fork der Corona-Warn-App, der die Google-Schnittstelle nicht benötigt und stattdessen einen Teil der microG-Dienste mit implementiert hat. Damit Namensrechte nicht verletzt werden, heißt sie nicht Corona-Warn-App sondern wurde Corona Contact Tracing Germany genannt und ist im freien App-Store F-Droid erhältlich:

Corona Contact Tracing Germany
Corona Contact Tracing Germany

https://f-droid.org/packages/de.corona.tracing/

Die App nutzt auf einem Smartphone, auf dem die Google-Play-Dienste installiert sind, eben diese, es gibt also technisch keinen Unterschied zur Corona-Warn-App.

Auf Smartphones, auf denen keine Google-Play-Dienste installiert sind, stattdessen aber microG, nutzt die App die microG-Dienste für die Kommunikation.

Und letztendlich, auf Smartphones, auf denen weder die Google-Play-Dienste noch microG-Dienste installiert sind, nutzt die App einen kleinen in die App selbst eingebauten Teil von microG zur Kommunikation.

Und um noch einmal die Bedenken zu zerstreuen, die ich oft von einigen gehört oder gelesen habe, NEIN, die App erfasst keine Standortdaten, auch wenn sie ohne Einschalten der Standortdienste nicht funktioniert. Aber das ist kein Fehler der App sondern eine – vorsichtig formuliert – unschöne Entscheidung von Google. Bluetooth kann prinzipiell auch zur Standorterkennung genutzt werden (Bluetooth-Beacons). Und aus diesem Grund hat Google Android so gebaut, dass der Nutzer aktiv die Standortbestimmung einschalten muss. Nun ja, solange man sich auf die anderen Apps verlassen kann, die so auf dem Telefon herumgeistern, die Corona Warn App zumindest nutzt diese Informationen nicht zur Standortbestimmung. Ob sich durch das Einschalten dieser Standort-Dienste jetzt andere Apps des Standorts bedienen, muss jeder für sich entscheiden. Ich bin bei meinen Apps, die fast ausschließlich aus F-Droid stammen, sehr sicher, dass die alle brav sind.

Nun kann man sich also solidarisch zeigen, und durch Nutzung dieser App im Fall des Falles seinen Kontaktpersonen anonym mitteilen, dass man leider positiv getestet wurde.

Blabber.im-Logo

Datenschutzfreundlicher Instant-Messenger für den Durchschnittsnutzer – blabber.im

Wer meinen Blog kennt, der weiß, dass ich keinen der allgemein üblichen Messenger – allen voran WhatsApp, aber auch nicht Telegram und Co. verwende. Die Gründe dafür habe ich in mehreren Beiträgen erläutert, deshalb hier nur kurz der Verweis auf zentralisierte Dienste, nicht quelloffene Server und Clients, die Anbindung an eine Telefonnummer und die häufige Nichtverfügbarkeit von Clients für verschiedene Geräte/Betriebssysteme. Deshalb habe ich hier oft den auf Android-Telefonen zum Standard gewordenen XMPP-Messenger Conversations empfohlen. Die Hürde für den Einstieg in die Welt von XMPP ist aber relativ hoch, denn Conversations gibt es im Google-Spy-Store nur gegen Bezahlung. Und der Durchschnittsnutzer, der mal davon gehört hat und es probieren möchte, gibt eben eher selten Geld für etwas aus, von dem er nicht weiß, ob das auf Dauer etwas für ihn ist. Die Alternative war, Conversations ohne Kosten über den freien App-Store F-Droid zu beziehen. Aber F-Droid ist bei vielen Nutzern wenig bekannt und Google versucht auch, dem Durchschnittsnutzer ein schlechtes Gewissen zu machen, indem es ihn „warnt“, dass Apps aus „unbekannten Quellen“ gefährlich sein können (was ja durchaus so ist, aber der Google-Spy-Store ist da nicht besser). Also bricht der Durchschnittsnutzer das Ganze lieber ab und bleibt bei WhatsApp & Co. 🙁

Nun haben sich Stefan Giebel und Christian Schneppe zusammengetan und etwas einheitliches geschaffen:

Blabber.im-Logo

Datenschutzfreundlicher Instant-Messenger für den Durchschnittsnutzer – blabber.im weiterlesen
GnuPG-Dieb

diebstahlresistente PGP-Schlüssel erstellen

E-Mails sind bekanntlich wie Postkarten zu sehen, wenn sie über das Internet versandt werden. Sie sind für alle am Transport Beteiligten lesbar. Damit das nicht so bleibt, hat vor inzwischen fast 40 Jahren ein schlauer Softwareentwickler namens Philip Zimmermann das Programm Pretty Good Privacy (engl. ziemlich gute Privatsphäre) kurz PGP, entwickelt. Die freie Alternative zu PGP ist GNU Privacy Guard oder kurz GnuPG oder ganz kurz GPG.

Die Sache mit den Schlüsseln

PGP und auch GPG verwendet die sogenannte asymetrische Verschlüsselung. Dabei wird für jeden Nutzer ein Schlüsselpaar erstellt, das aus einem öffentlichen und einem privaten Schlüssel besteht. Mit dem öffentlichen Schlüssel, den man in die weite Welt verteilt, können andere Personen Nachrichten verschlüsseln, die nur der Besitzer des zugehörigen privaten Schlüssels wieder entschlüsseln kann. Und mit dem privaten Schlüssel kann man, wie eben erwähnt, empfangene Nachrichten entschlüsseln und Nachrichten, die man an jemand anderen versendet digital signieren, damit der Empfänger prüfen kann, dass die Nachricht auf dem Weg zu ihm auch nicht verändert wurde. Der private Schlüssel ist zusätzlich mit einer Passphrase geschützt, damit ein Unbefugter, der in den Besitz des privaten Schlüssels gekommen ist, nicht einfach Nachrichten in fremdem Namen verfassen oder persönliche Nachrichten, die gar nicht für ihn bestimmt sind, lesen kann. Diese Passphrase ist also die letzte Hürde, die bei Verlust eines privaten Schlüssels noch vor Missbrauch schützt. Erlangt der Unbefugte auch darüber Kenntnis, dann ist die digitale Identität in unbefugten Händen und mit krimineller Energie können dann in fremdem Namen allerhand schlimme Dinge angestellt werden. Dann hilft es nur noch, den Schlüssel zu widerrufen, was nach langer Nutzung viele Unannehmlichkeiten und Aufwand nach sich ziehen kann.

Nun möchte man aber auch unterwegs am Smartphone oder am Laptop Nachrichten lesen und schreiben können. Man muss also seinen privaten Schlüssel dabei haben. Und dort kann er verloren gehen. Was also tun?

Eine Lösung für das Problem

Es gibt die Möglichkeit, sogenannte Unterschlüssel (engl. subkeys) zu erstellen. Das hilft, das Problem zumindest zu lindern.

diebstahlresistente PGP-Schlüssel erstellen weiterlesen