Archiv der Kategorie: WhatsApp

Blabber.im-Logo

Datenschutzfreundlicher Instant-Messenger für den Durchschnittsnutzer – blabber.im

Wer meinen Blog kennt, der weiß, dass ich keinen der allgemein üblichen Messenger – allen voran WhatsApp, aber auch nicht Telegram und Co. verwende. Die Gründe dafür habe ich in mehreren Beiträgen erläutert, deshalb hier nur kurz der Verweis auf zentralisierte Dienste, nicht quelloffene Server und Clients, die Anbindung an eine Telefonnummer und die häufige Nichtverfügbarkeit von Clients für verschiedene Geräte/Betriebssysteme. Deshalb habe ich hier oft den auf Android-Telefonen zum Standard gewordenen XMPP-Messenger Conversations empfohlen. Die Hürde für den Einstieg in die Welt von XMPP ist aber relativ hoch, denn Conversations gibt es im Google-Spy-Store nur gegen Bezahlung. Und der Durchschnittsnutzer, der mal davon gehört hat und es probieren möchte, gibt eben eher selten Geld für etwas aus, von dem er nicht weiß, ob das auf Dauer etwas für ihn ist. Die Alternative war, Conversations ohne Kosten über den freien App-Store F-Droid zu beziehen. Aber F-Droid ist bei vielen Nutzern wenig bekannt und Google versucht auch, dem Durchschnittsnutzer ein schlechtes Gewissen zu machen, indem es ihn „warnt“, dass Apps aus „unbekannten Quellen“ gefährlich sein können (was ja durchaus so ist, aber der Google-Spy-Store ist da nicht besser). Also bricht der Durchschnittsnutzer das Ganze lieber ab und bleibt bei WhatsApp & Co. 🙁

Nun haben sich Stefan Giebel und Christian Schneppe zusammengetan und etwas einheitliches geschaffen:

Blabber.im-Logo

Datenschutzfreundlicher Instant-Messenger für den Durchschnittsnutzer – blabber.im weiterlesen
Whatsapp-privat

Verfolgen von Freunden und Fremden mit WhatsApp

Ein aus dem englischen übersetzter Artikel vom 09. Oktober 2017 von folgender Seite: https://robertheaton.com/2017/10/09/tracking-friends-and-strangers-using-whatsapp/

Sie und Ihr guter Kumpel Steve Steveington, Sie sind im Training für einen anstrengenden Wohltätigkeitslauf. Sie haben sich spontan zusammengeschlossen und versprochen, sich gegenseitig zur Verantwortung zu ziehen, während Sie sich für den großen Tag in Form gebracht haben. Sie haben jedoch Grund zur Annahme entwickelt, dass Steve Steveington sein Engagement für den Plan verliert und bis in die frühen Morgenstunden aufbleibt, um in Nachtclubs zu feiern oder Call of Duty zu spielen. Das ist inakzeptabel – wenn er in Verzug gerät, weil er Ihr Trainingsprogramm nicht ernst genommen hat, dann werden Sie nicht derjenige sein, der ihn über die strapaziöse 5 Kilometer lange Strecke schleppt.

Verfolgen von Freunden und Fremden mit WhatsApp weiterlesen
WhatsApp hinter Gittern

Shelter – Aussperren datenhungriger Apps

Es gibt Apps, die greifen auf euer Adressbuch zu und laden den Inhalt auf fremde Server. Das ist unerfreulich, sowohl für dich selbst, vielmehr aber vielleicht noch für die, die in eurem Adressbuch stehen und gar nicht zugestimmt haben, das deren Nummer zu solchen Servern hochgeladen wird. WhatsApp, Signal oder auch Telegram machen das so. Der Grund (für den bequemen Nutzer) ist, das dem Nutzer abgenommen werden soll, herauszusuchen, wen aus seiner Kontaktliste er über den gerade genutzten Messenger erreichen kann. WhatsApp (und andere Messenger, die die Telefonnummer als Identifikator nutzen) listet diese Kontakte nämlich wie von Geisterhand automatisch auf. Das es daneben noch andere Gründe für den Serverbetreiber geben könnte, diese Kontaktdaten zu erhalten, um z.B. soziale Graphen damit aufzubauen, sollte einem selbst klar sein. Was man aus solchen Daten alles abgreifen kann, ist z.B. unter diesem Link sehr schön zu sehen. Aber es ist halt so bequem.

Es gibt allerdings unter Android seit einiger Zeit die Möglichkeit, solche Apps in ein separates Profil zu sperren, so dass sie keinen Zugriff mehr auf euer persönliches Adressbuch haben. Und es gibt eine App namens Shelter, die solch ein Arbeitsprofil anlegt und die Apps darin verwalten kann.

Shelter – Aussperren datenhungriger Apps weiterlesen
social-media

Zuckerberg plant Zusammenführung von Whatsapp, Instagram und Facebook Messenger

Die New York Times hat in einem Artikel die Pläne von Facebooks Chef Mark Zuckerberg beleuchtet. Für alle, die des englischen nicht mächtig sind, hier die Übersetzung ins deutsche.

Mark Zuckerberg, Geschäftsführer von Facebook, plant die Integration der Messaging-Dienste des sozialen Netzwerks – WhatsApp, Instagram und Facebook Messenger – und bekräftigt seine Kontrolle über die sich ausbreitenden Geschäftsbereiche des Unternehmens zu einer Zeit, in der sein Geschäft von Skandalen heimgesucht wird.

Zuckerberg plant Zusammenführung von Whatsapp, Instagram und Facebook Messenger weiterlesen

WhatsApp-Gründer packt aus

WhatsApp-Gründer packt aus: „Ich habe die Privatsphäre meiner User verkauft!“

Ich verlinke eigentlich nur ungern zu welt.de, aber der Artikel ist durchaus lesenswert:

https://www.welt.de/kmpkt/article181691812/WhatsApp-Gruender-packt-aus-Ich-habe-die-Privatsphaere-meiner-User-verkauft.html

Ich kann dem Schluß des Artikels nichts hinzufügen, nur noch mal wiederholen:

Es ist Zeit: #deletewhatsapp

Spionage

Wie verseucht ist dein Smartphone?

Ich habe im F-Droid-App-Store ein weiteres Repository (Quelle für Apps) hinzugefügt. Diese Quelle ist https://android.izzysoft.de/repo.

Demnach kann ich nun über die F-Droid-App nicht nur Apps aus dem Standard-F-Droid-Repository laden, sondern eben auch von android.izzysoft.de.

Von diesem Repository habe ich mir dann mal eine Alternative zu Yalp installiert, nämlich die App Aurora, über die man Apps aus dem Google Spystore laden kann, ohne einen Google-Account oder gar die Google-Apps auf dem Smartphone installiert zu haben. Vor dem Download von Apps über Aurora bekommt man allerdings angezeigt, ob die App möglicherweise Tracker beinhaltet und welche Rechte sie bei der Installation einfordern wird. Natürlich war ich neugierig, woher diese Informationen kommen. Dabei bin ich auf die Seite

https://reports.exodus-privacy.eu.org/

gestoßen. Hier kann man also im Browser den Namen einer App eintragen und bekommt als Ergebnis die Anzeige, wieviele (und nach einem weiteren Klick auch welche) Tracker in der jeweiligen App enthalten sind. Wenn man das nun mal für die häufig verwendeten Apps auf seinem Smartphone tut, bekommt der eine oder andere vielleicht tränende Augen und deinstalliert die eine oder andere App.

Hier nur ein paar Beispiele von Apps, die viele auf ihrem Smartphone haben (ich nicht! 😉 ):

2048 2048 Cirulli AccuWaether Angry Birds Bild.de Clever-Tanken.de FAZ Flashlight LED Flashlight GMX Mail Instagram McDonalds Microsoft Outlook für Android Pizza Hut Snapchat Spiegel Online SZ Tagesschau.de Web.de Mail Wetter.com WhatsApp Youtube

Warum es ein Problem ist, wenn einem auf Schritt und Tritt Tracker hinterherspionieren, hat Mike Kuketz in seinem Artikel „Das kranke WWW: Stop using Google Web-Services“ beschrieben.

Das es aber selbst im Google Spystore Apps gibt, die keine Tracker beinhalten, ist schon fast erstaunlich. Allerdings sind diese Apps auch allesamt im F-Droid-Store zu finden. Somit bräuchte man den Google-App-Store nicht:

Na – wer überlegt jetzt, ob er die eine oder andere App wieder deinstalliert? Sicherlich nur die, die verstanden haben, das Tracking eben keine kleine Sache ist, sondern damit Tür und Tor für einen absolut gläsernen Menschen geöffnet wird. Nachdenken! – bei Bedarf fragen! – Handeln! JETZT!

 

Chat

Freie Messenger – Warum? Weshalb? Wieso?

Ich versuche ja seit einiger Zeit, meine Besucher davon zu überzeugen, dass die Nutzung von Messengern wie WhatsApp, Signal, Threema oder auch Telegram hinsichtlich Datenschutz nicht gut ist. Die Gründe dafür habe ich in diversen Artikeln (Conversations – der bessere Ersatz für WhatsApp, Warum ich nicht über WhatsApp erreichbar bin, sichere Kommunikation mit XMPP …) dargelegt. Inzwischen gibt es eine eigene Webseite, die sich mit genau diesem Thema befasst:

https://freie-messenger.de

Hier werden noch einmal von vorn bis hinten die Vor- und Nachteile und die Gründe für eine Nutzung freier Messenger dargelegt. Optisch ist die Seite vielleicht noch etwas ausbaufähig – inhaltlich finde ich sie aber sehr gut.

Mozilla Common Voice

kein Amazon Alexa oder Google Home – Sprachsteuerung ohne Cloud

Die meisten Mitmenschen gehen bekanntermaßen mit ihrer eigenen Privatsphäre sehr unbedacht um. Das erkennt man daran, dass sie sich den allseits beliebten Messenger WhatsApp auf ihrem Smartphone installieren und dabei den AGB’s meist ungelesen oder zumindest achselzuckend zustimmen. Das dieser Messenger ab diesem Zeitpunkt Zugriff auf das komplette Kommunikationsverhalten des Smartphonebesitzers hat (mit wem?, wann?, wie lange?, wo war der Standort? – und darunter fällt also auch das herkömmliche telefonieren und SMS schreiben – nicht nur das chatten innerhalb von WhatsApp!), scheint den meisten völlig egal zu sein. Viel schlimmer ist allerdings, dass diese Mitmenschen nicht nur ihre eigene Privatsphäre wegwerfen, sondern auch noch die Telefonnummern aller in deren Adressbuch befindlichen Kontakte ungefragt auf den Server einer amerikanischen Firma laden, die mehrfach bewiesen hat, dass sie nicht auf die von ihren Kunden – äh, sorry! – Produkten* gesammelten Daten aufpassen kann (siehe z.B. Skandal Cambridge Analytica).

*Wenn du nichts dafür bezahlst, bist du nicht der Kunde, sondern das Produkt!

Zur Zeit existiert ein weiterer Hype, nämlich sich für teures Geld Abhörwanzen in die Wohnung zu holen um sich (und ahnungslose Besucher!) permanent abhören zu lassen. Auch wenn Amazon und Google behaupten, die in der Umgebung geführten Unterhaltungen würden erst ab einem Schlüsselwort (Alexa bzw. OK, Google) in die Cloud übertragen, um dort analysiert zuwerden, so frage ich mich. „Wer will und kann das prüfen?“. Und es gab inzwischen auch schon nachweisbar Vorfälle, in denen die Abhörwanze leider versehentlich glaubte, sie wäre angesprochen worden und dann vertrauliche Gespräche in die Cloud geschickt hat. Man sollte sich heute tatsächlich angewöhnen, wenn man bei Unbekannten zu Besuch kommt, nach dem üblichen „Guten Tag!“ noch ein „Alexa, bestell bitte 100 Dosen Ravioli!“ hinterherzuwerfen. Wenn die Gastgeber dann hektisch werden, weiß man, dass man in einem überwachten Bereich ist und sollte sich entsprechend verhalten.

Warum erzähle ich das alles? Nun – ich halte die Idee, Computer oder Smart Homes per Sprachbefehl zu steuern für sehr interessant. Es würde mir gefallen, wenn mein FHEM eines Tages auf Zuruf all die Dinge machen würde, die ich derzeit noch per Tastendruck, Bildschirmklick oder Messenger-Befehl auslöse. Aber bitte ohne Cloud! Wenn, dann sollte die Verarbeitung dieser Sprachnachrichten innerhalb meiner vier Wände stattfinden. Und genau dieses Projekt gibt es bereits. Die Mozilla Foundation hat damit begonnen, die ersten Schritte in diese Richtung zu gehen. Das Projekt heißt Mozilla Common Voice und ich erhoffe mir davon in absehbarer Zukunft eine Sprachsteuerung, die ich ohne Datenschutz-Bedenken zum Einsatz bringen kann. Wer etwas dazu beitragen möchte, kann sich an dem Projekt beteiligen und Sprachaufnahmen abliefern oder bereits aufgenommene Sprachaufnahmen auf ihre Korrektheit verifizieren.

Update:

Man muss gar nicht mehr warten, bis Mozilla aus dem Tee kommt. Inzwischen läuft bei mir zu Hause eine Alexa namens Snips – und zwar völlig autark – ohne Datenkrakenanschluss. Siehe meine Beiträge Sprachsteuerung ohne Alexa, Siri, Cortana und Co. und Snips – SmartHome hört aufs Wort – lokal und autark.

Netzwerke

Warum Privatsphäre mehr ist als Verschlüsselung

Ich bin im Internet auf eine interessante Seite gestoßen, die das Thema Privatsphäre und Verschlüsselung etwas eingehender beleuchtet. Da diese nur auf englisch und französich verfügbar ist, habe ich sie mal ins deutsche übersetzt, damit auch diejenigen unter euch, die des englischen nicht mächtig sind, die Chance haben, es zu lesen und sich damit auseinander zu setzen.

Hier ist der Link zur ursprünglichen Seite:

https://hannes.hauswedell.net/post/2016/05/31/why-privacy-is-more-than-crypto/ Warum Privatsphäre mehr ist als Verschlüsselung weiterlesen

mobilsicher-fs8

gute Apps – schlechte Apps – mal ein paar andere Tests als üblich

Im Internet gibt es jede Menge Webseiten, die Apps für mobile Geräte testen und die Ergebnisse dann präsentieren. Meist wird dabei vor allem getestet, wie gut die App das tut, wofür sie (aus Sicht des unbedarften Nutzers) programmiert wurde. Auf mobilsicher.de hingegen, wird getestet, was im Hintergrund passiert. Und die Ergebnisse sind leider viel zu oft katastrophal. Leider interessiert das unsichtbare Funktionieren im Hintergrund den Normalnutzer offenbar wenig, sonst würden die Nutzerzahlen bei vielen Apps nicht so hoch sein.

Jeder, der etwas auf Datenschutz und Privatsphäre bedacht ist, sollte sich beim Installieren von Apps Gedanken machen, was die App genau tut, welche Rechte sie einfordert und wohin sie welche Daten versendet bzw. versenden könnte.

Bekannte Apps, die bei Tests von mobilsicher.de negativ aufgefallen sind, sind unter anderem:

Am besten ihr seht euch selbst mal dort um auf mobilsicher.de.

Im Allgemeinen kann ich sagen, sollte man lieber Apps aus dem App-Store F-Droid benutzen. Diese werden auf problematische Features überprüft und gegebenenfalls verbessert, indem kritische Teile ausgebaut werden. So zum Beispiel die Spiele-App 2048. Die gibt es sowohl als problematische App im Google-Play-Store als auch als bereinigte Version im F-Droid-Store.

anonymous

Messenger ohne Telefonnummer nutzen

Bei vielen Messengern ist dieser aus Komfort-Gründen mit der Telefonnummer verknüpft. So zum Beispiel bei WhatsApp, Signal oder Telegram. Abgesehen davon, dass man diese Messenger wegen ihrer Zentralisierung meiden sollte (Zensur und Überwachung lässt grüßen), ist das Verknüpfen der Telefonnummer ein weiterer Schritt in die falsche Richtung. Denn über die Telefonnummer ist die dahinter stehende Person noch leichter zu identifizieren.

Es gibt aber die Möglichkeit, solche Messenger, wenn man sie schon einsetzt, ohne die Telefonnummer der SIM-Karte, sondern mit einer völlig anderen zu betreiben.

Man benötigt also eine weitere Telefonnummer. Wo bekommt man diese her? Z.B. kann man sich eine virtuelle Person unter fakenamegenerator.com anlegen (Achtung Werbung! Am besten nur mit ublock Origin besuchen.) Hat man sich dort eine virtuelle Persönlichkeit kreiert, dann hat man nun auch eine neue Telefonnummer.

Nun legt man sich unter https://textfree.us/#/welcome einen neuen Account an und gibt dort die neue Telefonnummer an. Jetzt kann man sich den Messenger auf seinem Telefon installieren und dort die neue Telefonnummer angeben. Der Messenger-Dienst sendet nun eine SMS mit dem Aktivierungscode an die angegebene Nummer. Die kann man unter Textfree.us empfangen und den Aktivierungscode ablesen. Trägt man den Code im Messenger ein, ist dieser damit freigeschaltet. Voilà – das war’s!

Nichtsdestotrotz sollte man besser Messenger verwenden, die OpenSource sind (damit man selbst oder andere in der Lage sind zu überprüfen, ob es Schwachstellen oder Hintertüren darin gibt), die nicht zentralisiert, also föderal sind (damit man nicht an dieser zentralen Stelle den Dienst zensieren, überwachen oder ganz abschalten kann) und die nicht die Telefonnummer als Indentifikationsmerkmal verwenden.

  • ThreemazentralisiertClosed SourceTelefonnummer nur Optional
  • SignalzentralisiertOpen SourceTelefonnummer als Identifikator
  • TelegramzentralisiertClosed SourceTelefonnummer als Identifikator
  • WhatsAppzentralisiertClosed SourceTelefonnummer als Identifikator
  • XMPPföderalje nach Client Open SourceTelefonnummer nicht als Identifikator
F-Droid-Logo

Alternativen für Apps aus dem Google PlayStore

Wer sein Mobiltelefon mit einem alternativen Betriebssystem (Custom-ROM) ausstattet, hat anschließend die Möglichkeit, auf die übliche Datenabfluß-Verbindung zu Google zu verzichten, indem man keine Google-Apps darauf installiert bzw. wenigstens das Google-Konto nicht aktiviert. Das führt natürlich dazu, dass einem auch der prall gefüllte Google Play Store nicht zur Verfügung steht.

Der Google-Spy-Store ist sowieso überfüllt mit schädlichen und trackenden Apps. Es ist äußerst schwierig, dazwischen die trackingfreien Perlen zu finden. Ein weiterer Grund, nicht diesen ominösen App-Store zu nutzen, findet sich in einem Artikel bei Golem.de.

Um trotzdem weitere Apps auf sein Telefon zu bekommen, kann und sollte man sich den F-Droid-App-Store installieren. Dort gibt es ausschließlich freie Software. Aber auch, wer kein gerootetes und/oder mit einem Custom ROM ausgestattetes Gerät besitzt, kann sich einen weiteren App-Store installieren und alternative Apps daraus nutzen:

Alternativen für Apps aus dem Google PlayStore weiterlesen

Telefonnummer wird nur als Hash bei WhatsApp gespeichert

Sowohl bei WhatsApp, aber auch bei anderen Messengern wie Signal wird die eigene Telefonnummer benutzt, um die Person zu identifizieren. Das ist auch der Grund, warum das komplette Telefonbuch eines WhatsApp-Nutzers auf den Server hochgeladen werden muss. Anhänger dieses Vorgehens argumentieren dabei oft, dass die Telefonnummer auf dem Server ja nicht direkt gespeichert wird, sondern nur ein Hashwert davon. Ein Hash-Algorithmus wandelt also einen Eingabewert (die Telefonnummer) in einen anderen Ausgabewert (den Hashwert, der dann gespeichert wird) um. Telefonnummer wird nur als Hash bei WhatsApp gespeichert weiterlesen

whatsapp-conversations

Conversations – der bessere Ersatz für WhatsApp

Inhalt

XMPP – Was ist das?

XMPP ist ein Protokoll, über das Sofortnachrichten ausgetauscht werden – als es 1997 erfunden wurde, hieß es noch Jabber. Auch die wohl allen bekannte App „WhatsApp“ basiert auf diesem Protokoll. Basiert bedeutet dabei, dass WhatsApp ursprünglich das reine XMPP nutzte, im Laufe der Zeit aber so viele gravierenden Änderungen daran vorgenommen hat, das es nun nicht mehr mit dem urspünglichen XMPP kompatibel ist.

Unterschiede zwischen XMPP und WhatsApp

Nutzt man WhatsApp, dann wird man über die Telefonnummer identifiziert. Dadurch sieht man auch sofort, welcher der Kontakte im Telefonbuch auch WhatsApp nutzt.

XMPP funktioniert eher wie E-Mail. Es gibt viele verschiedene Server-Anbieter, bei denen man sich (meist kostenlos) anmelden kann. Man erhält dann eine Adresse in der Form Nutzername@servername.org. Diese Adresse, die genauso aussieht wie eine E-Mail-Adresse heißt bei XMPP Jabber Identifier und wird mit JID abgekürzt. Genauso wie bei E-Mail, kann diese JID nun den Freunden und Kollegen bekannt gegeben werden. Und wie bei E-Mail, können die Freunde und Kollegen ihren XMPP-Account auf völlig anderen Servern haben und trotzdem Nachrichten an eure JID schicken.

Im Gegensatz zu WhatsApp hat man also hier den Nachteil, dass man sich erst einen Server aussuchen und sich dort registrieren muss. Anschließend muss man die Kontodaten und das Passwort in der App eintragen und die Adressdaten mit den potenziellen Kontakten austauschen. Bei WhatsApp ist nach der Installation und dem bekanntgeben der eigenen Telefonnummer alles getan was nötig ist. Welche Datenschutz-Probleme damit einhergehen, steht auf einem anderen Blatt und habe ich zum Beispiel im Artikel „WhatsApp vs. XMPP“ ausführlich beschrieben.

Welche Vorteile bringt XMPP?

  • Man kann den gleichen XMPP-Account auf mehreren Geräten nutzen (und das müssen nicht nur Smartphones sein, sondern es gibt auch Programme für Windows- oder Linux-PCs).
  • Man kann mehrere XMPP-Accounts haben (z.B. einen für Freunde und Familie und einen für die Arbeit [den man zum Feierabend/Wochenende/Urlaub deaktiviert])
  • nicht jeder bekommt die eigene Telefonnummer

 

Welchen Server sollte ich wählen?

Wie bereits erwähnt, gibt es eine riesige Auswahl an XMPP-Servern. Für Neueinsteiger fällt die Wahl da schwer. Unter https://compliance.conversations.im/ ist eine handverlesene Übersicht zu finden, in der auch ein paar gängige Features aufgelistet werden. Ich betreibe seit Anfang 2017 einen eigenen XMPP-Server unter der Adresse neubert.dedyn.io. Wer möchte, und mir sein Vertrauen entgegenbringt, der kann sich gern dort als Nutzer kostenlos anmelden.

Registrierung

Je nach Server gibt es zwei verschiedene Arten, sich auf dem Server zu registrieren. Welche der beiden Möglichkeiten, oder ob beide angeboten werden, hängt vom jeweiligen Server ab.

Webformular

Wie bei vielen anderen Seiten im Netz, bieten auch XMPP-Server oft die Möglichkeit der Registrierung über ein Webformular. Hier erklärt am Beispiel des Servers trashserver.net:

Aufruf der Webseite trashserver.net, dort den Link „Registrieren“ klicken ,

trashserver Registrierung

und in das erscheinende (oben abgebildete) Formular den gewünschten Nutzernamen und das gewählte Passwort eintragen. Nach Lösung der Rechenaufgabe (Schutz vor SPAM-Robots und zu dummen Nutzern ;-)) wird durch Klick auf den Button „Registrieren!“ ein neuer Nutzer-Account auf diesem Server angelegt. Jetzt kann man sich mit der App seiner Wahl an diesem Server anmelden.

InBand-Registirerung

Bei der InBand-Registrierung legt man direkt aus der App heraus einen neuen Nutzer-Account auf dem Server an.

Da sich hier die Vorgehensweisen je nach gewählter App stark unterscheiden, werde ich das hier nur anhand der auch von mir genutzten App Conversations erklären (Conversations – Nutzerkonto einrichten).

Download von Conversations

Conversations ist eine App die für Android-basierte Telefone zur Verfügung steht. Wer im Besitz eines Ei-Fons ist, kann als Alternative Chatsecure nutzen, hier soll es aber ein paar Probleme geben. Ich bin kein Ei-Fon-Nutzer.

Conversations gibt es sowohl im herkömmlichen Google-Playstore – dort für 2,39€ oder auch als kostenlose App im alternativen App-Store F-Droid (um Spenden wird gebeten).

Entscheidet man sich, nicht den Google-Playstore zu nutzen, dann muss man, sofern noch nicht geschehen, in Android die Installation aus fremden Quellen zulassen. Das ist zu erreichen über Einstellungen – Sicherheit – Unbekannte Herkunft.

Warum man besser auf Apps aus F-Droid setzen sollte, habe ich in meinem Artikel Alternativen für Apps aus dem Google Playstore beschrieben.

Conversations – Nutzerkonto einrichten

Nach der Installation der App muss man sich mit seinem Nutzer-Account an seinem gewünschten XMPP-Server anmelden. Wir starten also Conversations.

Conversations Start

Beim erstmaligen Start, wird man automatisch aufgefordert, ein neues Konto zu erstellen. Dazu gibt es entweder die Möglichkeit, ein Konto auf dem Server conversations.im anzulegen (wird nach 6 Monaten kostenpflichtig und kostet 8 € / Jahr) oder man wählt den Punkt „Nutze eigenen Provider“ und wählt einen anderen Server.

Hier trägt man nun seine JID ein, also die Kombination aus gewähltem Nutzernamen und dem zugehörigen XMPP-Server, getrennt durch das Zeichen @. Wenn man bereits vorher über ein Webformular einen Benutzer angelegt hat, dann existiert der Nutzer ja bereits auf dem Server. Dann darf natürlich der Haken „Neues Konto auf Server erstellen“ nicht gesetzt sein, da man den selben Nutzer ein zweites Mal nicht erstellen kann. Da ich hier gerade die InBand-Registrierung beschreibe, muss der Haken aber gesetzt sein, weil der Nutzer ja erst jetzt erstellt werden soll.

Conversations Konto hinzufügen

Hat man seine JID und sein gewähltes Passwort eingetragen, wird nach einem Klick auf „Weiter“ der neue Nutzer auf dem Server angelegt.

Im nächsten Schritt kann man nun noch ein Avatarbild für seinen Nutzer vergeben. Das kann man aber auch später noch nachholen bzw. auch ändern. Ich überspringe diesen Schritt jetzt.

Zugriff auf Kontakte

Bei der erstmaligen Nutzung fragt Android nun nach, ob Conversations auch Zugriff auf die im Telefon gespeicherten Kontakte haben darf. Dieser Zugriff ist nicht zwingend erforderlich – es funktioniert auch ohne dieses Recht. Wenn man allerdings die JIDs seiner Kontakte im Telefonbuch gespeichert hat, dann erleichtert die Freigabe des Zugriffs die Handhabung, denn dann zeigt Conversations diese auch automatisch an.

Zulassen, dass die App Conversations auf deine Kontakte zugreifen darf?

Ablehnen / Zulassen

Batterieoptimierung deaktivieren

Das nächste Recht, das Conversations anfragt ist, die Batterieoptimierung von Android zu deaktivieren. Diese Batterieoptimierung sort dafür, das Android Apps ohne Nachfrage beenden kann, die lange nicht mehr benutzt wurden. Das hätte natürlich zur Folge, das keine Nachrichten mehr ankommen würden, bis man Conversations wieder öffnet. Der Akkuverbrauch von Conversations ist sehr gering, so dass man die Batterieoptimierung für Conversations auf jeden Fall deaktivieren sollte.

Batterieoptimierung aktiv

Dein Telefon wendet Batterieoptimierungen bei Conversations an, welche verspätete Benachrichtigungen oder Nachrichtenverlust verursachen können. Es ist empfehlenswert dies zu deaktivieren.

Weiter

Akkuoptimierung ignorieren?

Darf die App „Conversations“ im Hintergrund verbunden bleiben? Dies erhöht möglicherweise die Akkunutzung.

Nein / Ja

Kontakte hinzufügen

Nach diesem Schritt ist die Installation von Conversations abgeschlossen. Allerdings fehlen noch die Kontakte, um mit diesen Nachrichten auszutauschen.

Dazu klickt man auf das Plus in der oberen rechten Ecke.

Conversations Plus

Hier wählt man erst einmal „Kontakte“ und klickt anschließend auf das Icon mit dem Männchen und dem kleinen Plus.

Conversations Kontakt hinzufügen

Es öffnet sich ein neues Fenster, in dem man die JID (Jabber-ID) des neuen Kontaktes einträgt (z.B. Bob@Server2.de). Sofern man mehrere Konten (auf einem oder mehreren Servern) hat, kann man hier unter „Dein Konto“ auch auswählen, welches davon man nutzen möchte. Im Normalfall ist hier nur ein Eintrag zur Auswahl.

Conversations Kontakt erstellen

Nach dem Klick auf „Erstellen“ öffnet sich bereits das Verlaufs-Fenster für den Chat mit der gewählten Person (im Folgenden Bob). Nun können wir (noch unverschlüsselt) los schreiben oder Bilder schicken oder ein Foto machen oder eine Sprachnachricht aufzeichnen und verschicken.

Der andere Teilnehmer (Bob) wird die Nachricht empfangen und beim ersten Mal die folgende Nachricht erhalten „Der Kontakt hat dich zur Kontaktliste hinzugefügt – mit der Option ‚auch hinzufügen‚“. Sobald Bob den Kontakt (Alice) in seine Kontaktliste hinzugefügt hat, hat er die Möglichkeit zu entscheiden, ob Alice seinen Online-Status sehen darf.  Sobald er das tut, ist es ab diesem Zeitpunkt möglich, die OMEMO-Verschlüsselung zu nutzen (im Chatfenster auf das Schloss tippen und OMEMO wählen).

Update: Ende 2017 wurde ein weiteres XMPP-Feature „erfunden“, welches es ermöglicht, auch dann bereits OMEMO-Verschlüsselung zu aktivieren, wenn die Kontakte sich noch nicht gegenseitig in die Kontaktliste aufgenommen haben. Ist dieses Feature auf dem Server aktiviert, kann man auch sofort mit OMEMO-verschlüsselten Verbindungen starten. Auf neubert.dedyn.io ist dieses Feature bereits aktiviert! 😉

OMEMO ist die Ende-zu-Ende-Verschlüsselung bei XMPP. Diese sorgt dafür, das auch der bzw. die XMPP-Server-Betreiber die Nachrichteninhalte nicht mehr mitlesen können.

Damit sind die Grundlagen zur Kommunikation mit Conversations erklärt. Was noch fehlt, sind ein paar Worte zu

  • Sprachnachrichten-Plugin
  • Standort-Freigabe-Plugin
  • MUCs (Multi-User-Chats), in WhatsApp auch Gruppenchats genannt.

Sprachnachrichten-Plugin

Damit man mit Conversations auch Sprachnachrichten versenden kann, benötigt man ein zusätzliches Plugin. Das findet man

Standort-Freigabe-Plugin

Wenn man seinen aktuellen Standort anderen Chatpartnern mitteilen möchte, dann kann man das mit dem Share-Location-Plugin.

Multi-User-Chat (MUC)

Damit man mit mehreren Kontakten gleichzeitig kommunizieren kann, gibt es sogenannte Multi-User-Chats, kurz MUC. Diese kann jeder auf jedem Server selbst erstellen. In Conversations geht man dazu wie folgt vor: Man klickt wieder auf das Plus in der oberen rechten Ecke.

Conversations Plus

Anschließend wählt man „Gruppenchats“ und klickt danach wieder auf das Männchen mit dem kleinen Plus daneben.

Conversations Kontakt hinzufügen

Im nun erscheinenden Menü würde man intuitiv „Gruppenchat erstellen“ wählen, wenn man einen neuen Gruppenchat erstellen möchte. Kann man auch tun, hat aber den Effekt, das als Name des Chatraums ein kryptischer Name generiert wird.

Conversations MUCs

Wählt man hier stattdessen „Gruppenchat beitreten“, dann kann man entweder einem bereits bestehenden Chat beitreten oder, falls dieser noch nicht existiert, damit auch gleich einen neuen erstellen. Den Namen kann man sich selbst aussuchen. Der Teil hinter dem @ ist vom Server fest vorgegeben und wird auch automatisch vorgeschlagen.

Conversations-MUC beitreten

Nach dem Klick auf „Beitreten“ befindet man sich auch schon in diesem Chat und kann los schreiben. Es fällt auf, dass man hier unverschlüsselt schreibt.

Conversations - Beispielgruppe

Versucht man mittels Klick auf das Schloss im oberen Bereich, eine OMEMO-Verschlüsselung zu aktivieren, wird man feststellen, dass das in diesem Gruppenchat nicht auswählbar ist. Der Grund dafür ist, dass es derzeit ein öffentlich zugänglicher Gruppenchat ist – dazu weiter unten noch etwas mehr.

Conversations Verschlüsselung MUC

Schauen wir uns mal die Eigenschaften dieses Gruppenchats an. Dazu klickt man auf die drei Punkte in der oberen rechten Ecke. In dem aufklappenden Menü wählen wir den ersten Eintrag „Gruppenchatdetails“.

Conversations - Gruppenchatdetails

Es erscheint folgendes Fenster:

Conversations-Gruppenchatdetails

Hier kann man sehen,

  • wer der Eigentümer dieses Gruppenchats ist,
  • ob es ein öffentlich zugänglicher oder ein privater Chat ist
  • ob man bei allen oder nur bei speziell an einen selbst adressierten Nachrichten benachrichtigt werden möchte
  • ob der Chatraum MAM* (Message-Archive-Management) unterstützt
  • mit welchem Konto man in diesem Gruppenchat angemeldet ist

Über „Kontakt einladen“ kann man weitere Nutzer in den Gruppenchat einladen.

Der Eigentümer des Gruppenchats kann die Einstellungen ändern, indem er auf das Zahnrad hinter „öffentlich zugänglicher Gruppenchat“ klickt. Folgende Einstellungen können damit geändert werden:

Conversations-Gruppenchatoptionen

  • Privat, nur Mitglieder: Hier kann man aus dem öffentlichen Gruppenchat einen privaten Chat machen. Das bedeutet, dass nur noch eingeladene Personen diesem Chat beitreten können.
  • Moderiert: Aktiviert man diese Option, dann können Besucher eines öffentlichen Gruppenchats keine eigenen Nachrichten hineinschreiben sondern nur lesen. Mitglieder können sowohl lesen als auch schreiben.
  • De-anonymisiert: Normalerweise sind die Kontaktadressen in einem Gruppenchat nicht für die anderen Teilnehmer/Besucher sichtbar. Aktiviert man diese Option, dann können alle alle anderen Kontaktadressen in diesem Gruppenchat sehen

In einem Gruppenchat ist die Ende-zu-Ende-Verschlüsselung OMEMO normalerweise nicht verfügbar. Hintergrund ist, dass man von jedem Teilnehmer des Gruppenchats den öffentlichen Schlüssel benötigen würde – und das können sehr viel werden, je nach dem, wieviele Teilnehmer solch ein Chat hat. Außerdem ist es zumindest bei öffentlichen Gruppenchats nicht sehr sinnvoll, denn ein potenzieller Mithörer braucht einfach nur dem Gruppenchat beizutreten. Allerdings gibt es Entwicklungen, das selbst das zukünftig in Gruppenchats möglich werden wird. Der XMPP-Server muss das dann unterstützen.

Update: Auf neubert.dedyn.io ist es seit Ende 2017 möglich, in privaten Gruppenchats auch OMEMO-verschlüsselt zu kommunizieren!


*MAM – Message-Archive-Management

In Gruppenchats besteht das Problem, das nicht immer alle online sind und dementsprechend Nachrichten verpassen könnten. Damit solche Teilnehmer die Chance bekommen, auch die während ihrer Abwesenheit geschriebenen Nachrichten lesen zu können, gibt es MAM. Das sorgt dafür, dass die Nachrichten, die während ihrer Abwesenheit geschrieben werden auf dem XMPP-Server zwischengespeichert werden. Kommt der Kontakt wieder online, werden die zwischengespeicherten Nachrichten zugestellt und vom Server gelöscht. Dieses Feature muss der Server bereitstellen (nicht alle unterstützen das – neubert.dedyn.io allerdings schon 😉 ).

Warum ich nicht über WhatsApp erreichbar bin

Warum ich nicht per WhatsApp erreichbar bin, erkläre ich hier genauer.

Hier nur ein paar Stichpunkte:

  • WhatsApp ist nicht kostenlos. Es kostet dich deine Privatsphäre!
  • WhatsApp ist nicht Open-Source, nur bei Open-Source kann man prüfen, ob nicht doch Hintertüren eingebaut sind, die die Privatsphäre bedrohen. Bei Closed-Source muss man den Versprechungen des Herstellers vertrauen.
  • Es gibt Alternativen, die von der Bedienung genauso gut sind und den Datenschutz beachten. Was derzeit noch fehlt sind genügend Nutzer.
  • WhatsApp gehört Facebook und Facebook ist ein intransparenter Monopolist der mit den Nutzerdaten Milliarden Gewinne einfährt.
  • Vorangehen lohnt sich – auch wenn es manche nicht glauben mögen, es gibt ein Leben ohne WhatsApp.

Und ich empfehle jedem, sich Gedanken zu machen, womit Facebook sein Geld verdient und ob einem der Verzicht auf die eigene Privatsphäre eine „kostenlose“ App wert ist.

Meine Empfehlung: Nutzt Open-Source-Messenger die ein offenes Protokoll verwenden, wie Conversations (Android), Chatsecure (iOS) oder Gajim (Windows/Linux). Weitere Details dazu findet ihr unter WhatsApp-vs-XMPP bzw. auch hier Conversations, der bessere Ersatz für WhatsApp.