romainaubert |||

Warum ich meinen Freunden gesagt habe, sie sollen WhatsApp und Telegram nicht mehr benutzen

Read original blog post in English.

Translated by Joern Bielewski.

Trotz Ende-zu-Ende Verschlüsselung spioniert Big-Brother dein Handy aus: Durch Meta-Daten.


Heute Morgen habe ich meinen Freunden gesagt, sie sollen aufhören, WhatsApp und Telegram zu benutzen und habe ihnen eine Aufforderung geschickt, zum Signal Messenger zu wechseln.

Das ist der Grund:

Verschlüsselungs-Protokolle: Das Signal-Protokoll im Vergleich zu Telegrams MTProto

Es ist dir vielleicht nicht bewusst, aber wahrscheinlich benutzt du bereits das Signal-Protokoll - genau, wie mehr als einer Milliarde Menschen dies jeden Tag tun.

Das Signal Protokoll wird von WhatsApp, Facebook Messenger, Google Allo und Signals eigener App verwendet. Aber was ist eigentlich das Signal-Protokoll?

Das Signal-Protokoll ist ein kryptographisches Kommunikationsprotokoll für Ende-zu-Ende-verschlüsselten Nachrichtenaustausch wie zum Beispiel bei Instant Messaging. - Wikipedia

Ende-zu-Ende Verschlüsselung bedeutet, dass jede Nachricht zunächst auf dem Gerät des Senders verschlüsselt wird und nur auf dem Gerät des Empfängers wieder entschlüsselt werden kann.

Das ist die Technologie, die WhatsApp seit ein paar Monaten benutzt, nachdem sie folgende Nachricht in deinem Chat angezeigt haben:

WhatsApp encryption announcement messageWhatsApp encryption announcement message

Das Signal-Protokoll wurde von Open Whisper Systems entwickelt, einer 2013 vom früheren Twitter-Sicherheitschef Moxie Marlinspike gegründeten Non-Profit-Organisation, die entstand, nachdem der 140-Zeichen Dienst die erste sichere Kurznachrichten-Firma von Open Whispers übernommen hatte.

Open Whisper Systems konzentriert sich auf die Entwicklung des Signal-Protokolls und betreut außerdem eine Kurzmitteilungs-App namens Signal“. Die Firma finanziert sich aus einer Mischung von Spenden und Fördermitteln.

Das Signal-Protokoll wurde im Oktober 2016 von einem Team internationaler Sicherheitsexperten untersucht und bekam überschwängliche Bewertungen.1

Also sollte man meinen, dass man als Benutzer von WhatsApp, Facebook Messenger und Google Allo auf der sicheren Seite ist, da sie auch das Signal-Protokoll benutzen.

Nunja, nicht wirklich.

Da beim Facebook Messenger und Google Allo die Verschlüsselung standardmäßig deaktiviert ist, muss man beim Facebook Messenger erst manuell Secret Conversations“, bzw. bei Allo den Incognito Modus“ aktivieren.

Telegram, eine von 100-Millionen Usern verwendete App, die von Pavel Durov, dem Gründer des Social Media Netzwerks VK entwickelt wurde, benutzt ein eigenes Verschlüsselungsprotokoll: Das MTProto-Protokoll.

Nach einigen kontroversen Diskussionen über das Verschlüsselungsprotokoll hat ein Sicherheitsexperte 2015 einige grundlegende Sicherheitsmängel“ in diesem Papier veröffentlicht und kam zu dem Ergebnis, dass es besser gewesen wäre, wenn MTProto kein eigenes Verschlüsselungsprotokoll entwickelt hätte.

Damit bleiben WhatsApp und Signal die einzigen beiden Anwendungen, die das Signal-Protokoll standardmäßig verwenden.

Also warum nicht einfach weiter WhatsApp benutzen?

Die Antwort liegt in der Verwendung von Meta-Daten.

Datensammlung und Meta-Daten

Über Meta-Daten und Datensammeln hat es viele Diskussionen gegeben, wobei häufig Aussagen nach folgendem Motto gemacht werden:

Wir können die Inhalte der Kommunikation nicht mitlesen, weil wir Ende-zu-Ende-Verschlüsselung benutzen, wir können lediglich Meta-Daten sammeln.

Der Begriff Meta-Daten ist ofmals recht schwammig. Der Einfachheit halber folgt hier eine klare Begriffs-Definition:

Haben eure Leser Schwierigkeiten, den Begriff Meta-Daten zu verstehen? Ersetzt ihn mit “Aktivitätsprotokoll.” Genau das bedeutet es. #KlarheitHaben eure Leser Schwierigkeiten, den Begriff Meta-Daten zu verstehen? Ersetzt ihn mit “Aktivitätsprotokoll.” Genau das bedeutet es. #Klarheit

Solltest du dir unsicher sein, was es damit auf sich hat, lies diesen Artikel von EFFs Kurt Opsahl. Er nennt einige Beispiele dafür, was Firmen und Regierungen wissen, wenn sie Meta-Daten sammeln2:

Sie wissen, dass du um 2:24 Uhr eine Sex-Hotline angerufen hast und 18 Minuten lang gesprochen“ hast. Aber sie wissen natürlich nicht worüber.

Sie wissen, dass du eine Telefon-Seelsorge von der Golden-Gate Brücke aus angerufen hast, aber das Thema des Anrufes bleibt natürlich ein Geheimnis.

Sie wissen, dass du mit einem Dienstleister für HIV-Tests telefoniert hast und in der gleichen Stunde dann mit deinem Arzt und deiner Krankenversicherung. Aber worüber ihr gesprochen habt, wissen sie wahrscheinlich nicht.”

Nachdem du nun weißt, was Meta-Daten sind, lass es mich noch einmal wiederholen: Ende-zu-Ende Verschlüsselung hindert die Betreiber von Instant-Messenger Diensten nicht daran, Meta-Daten zu sammeln.

Lasst uns mal einen Blick darauf werfen, was sie genau sammeln:

WhatsApp

Die FAQ von WhatsApp sagt3, dass die Anwendung Zugang zu allen Telefonnummern in deinem Telefonbuch hat und dass sie jede Menge Informationen4 über dich sammeln.

Interessanterweise werden deine Nachrichten nicht auf den WhatsApp Servern, sondern auf deinem Telefon gespeichert. Wenn du nun den Fehler machst, ein (unverschlüsseltes) Backup von deinem Handy (in der Cloud) zu speichern, können die Nachrichten unter Umständen gelesen werden.

Bezüglich der Daten, die WhatsApp von dir sammelt, äußern sie sich etwas vage. Allerdings geben sie zu, dass sie Informationen über deine Aktivitäten sammeln.

Benutzungs- und Ereignisinformationen. Wir sammeln dienstbezogene, diagnostische und Leistungsdaten. Dies beinhaltet Informationen über deine Aktivitäten (z.B. wie du den Dienst benutzt, wie du mit anderen Benutzern interagierst u.s.w.), Ereignisprotokolle und Diagnose-, Absturz-, Webseiten- und Leistungsdaten und Berichte.” (translated)

Außerdem sammelt WhatsApp Daten über dein Gerät, wenn du die App installierst, dich mit dem Server verbindest oder den Dienst benutzt — z.B. das Handymodell, sein Betriebssystem, Informationen von deinem Webbrowser, IP-Adresse, Mobilfunknetzwerk — deine Telefonnummer eingeschlossen.

Und wenn sie an deine Daten nicht direkt herankommen, dann sammeln sie sie, wenn deine Freunde dir schreiben, da sie auch Zugang zu den Aktivitätsprotokollen aller deiner Freunde haben.

Neben den unverschlüsselten Backups wurden auch andere Bedenken von der Electronic Frontier Foundation geäußert. Dies betrifft Mitteilungen über Änderungen des Schlüssels, WhatsApps Web-App und das Teilen von Daten mit Facebook, die WhatsApp 2014 übernommen haben.

Ap­ro­pos Facebook…

Facebook Messenger

Das MIT Technology Review” schrieb:

Facebook sammelt den weitreichendsten Datensatz, der jemals über menschliches Sozialverhalten angelegt wurde.”5

Ich muss nicht genau aufschlüsseln, welche Daten Facebook sammelt. Facebook ist dein Freund, also machen sie es dir leicht nachzuvollziehen, was für ein guter Freund sie sind:

facebook data collection policyfacebook data collection policy

Google Allo

Googles Messenger Allo ist von Sicherheitsexperten scharf kritisiert worden6.

Google kann nicht nur jede Nachricht mitlesen, sondern sie speichern auch alle Unterhaltungen.

Ganz einfach.

Hier ist Edward Snowdens ironisch gemeinte Werbung für Allo:

Gratis Download heute: Google Mail, Google Maps und Google Überwachung. Das ist #Allo. Benutze es nicht.Gratis Download heute: Google Mail, Google Maps und Google Überwachung. Das ist #Allo. Benutze es nicht.

Telegram

Wie ich erwähnt habe, ist das Verschlüsselungs-Protokoll von Telegram nicht sicher. Lassen wir das einen Moment außer Acht und fragen uns, was für Daten sie von ihren Nutzern sammeln?

Nachrichten, Bilder, Videos und Dokumente (bis auf die Secret Chat“-Nachrichten) werden verschlüsselt auf den Telegram-Servern gespeichert. Genau wie Whatsapp und Facebook greift Telegram auf dein Adressbuch zu und speichert deine Kontaktliste auf deren Server. Nur so können sie dir eine Benachrichtigung schicken, wenn jemand aus deinem Adressbuch sich neu bei Telegram anmeldet. Nett von ihnen, oder?

Signal

Die einzigen Daten, die Signal erhebt, sind deine Telefonnummer und wann du zuletzt mit dem Server verbunden warst.7

Das ist alles.

Sie speichern nicht einmal die Stunde, Minute oder Sekunde — Nur den Tag.

Wenn du dich schelmisch fühlst, bietet Signal sogar sogenannte Disappearing Messages an, verschwindende Nachrichten, die nach einer frei wählbaren Zeit automatisch gelöscht werden.

Und Signal ist kostenlos. Wirklich kostenlos. Das bedeutet, dass sie nicht versuchen, deine Daten an die Werbeindustrie zu verkaufen wie Facebook und Google das mit ihren Messenger-Apps vorhaben. Du kannst für die Weiterentwicklung von Signal hier spenden.

Außerdem ist der Code von Signal frei verfügbar, open-source und kann von jedem auf GitHub eingesehen und überprüft werden. 8.

Why should you care about your privacy?

Es könnte sein, dass du der Meinung bist:

Wen kümmert’s? Ich habe nichts zu verbergen!”

Wenn Sie denken, dass Sie nichts zu verbergen haben, probieren Sie eines: Geben Sie das Passwort Ihrer Mailbox an Ihre Freunde weiter.

Also: read what’s the difference between privacy and secrecy?” (coming soon - subscribe to RSS or the mailing list to get an update)

Edit 24/01/2017: previously we stated that [Telegram’s] encryption protocol [was] not secure”. Telegram brought some clarification by publishing a blog post commenting on the finding of J. Jakobsen.9


Hey, I’m writing a book to explain how platforms and applications get away with what they promise they will do (and don’t do); and what impact your usage has on your well-being. You can sign up here to get an email when the book is out.


  1. https://www.cyberscoop.com/signal-security-audit-encryption-facebook-messenger-whatsapp/↩︎

  2. https://www.eff.org/deeplinks/2013/06/why-metadata-matters↩︎

  3. https://faq.whatsapp.com/en/general/20971813↩︎

  4. https://www.whatsapp.com/legal/#privacy-policy-information-we-collect↩︎

  5. https://www.technologyreview.com/s/428150/what-facebook-knows/↩︎

  6. www.independent.co.uk/life-style/gadgets-and-tech/news/google-allo-should-be-deleted-and-never-used-says-edward-snowden-a7320861.html↩︎

  7. https://signal.org/legal/↩︎

  8. https://github.com/signalapp↩︎

  9. https://telegra.ph/mtproto-security-01-17↩︎

Up next Pourquoi j’ai conseillé à mes amis de supprimer WhatsApp et Telegram Why I told my friends to stop using WhatsApp and Telegram
Latest posts Update: added CryptPad (web-based spreadsheet), Mark Text, Dillinger (Markdown editors) to list.romainaubert.com Update: added EtherCal (web-based spreadsheet), Etherpad (web-based word processor), Framadate (polls), Drop (file transfer) to list.romainaubert.com Mac Terminal commands to prevent Mac from sleeping Mac Terminal command-line interface (CLI) cheatsheet A roadmap to reclaiming my attention, relationships, intimacy and privacy Bypass cookie banners by toggling “reader view” in your browser Book review - alone together: why we expect more from technology and less from each other - by sherry turkle Update: added 2 Android OS, 2 phones, a search engine, a map app, 2 blog CMS, and a tool to delete Tweets to list.romainaubert.com Should people negotiate financial income from the use of their personal data? Peer-to-peer/decentralized network architectures and information commons as an alternative to a centralized internet Yelp is screwing over restaurants by replacing their phone numbers on listings and routing customers’ calls thru a referral marketing business. how to ditch Facebook, Twitter, Google News, Instagram, and LinkedIn — and still follow news, people and organizations you like Tour of Queyras (GR58), 140 km, 7,000m elevation, 7 days Facebook’s “privacy notifications” and “co creation strategies” to protect people’s privacy Privacy-friendly and open source alternatives to Google’s products Privacy 101: simple steps to protect your privacy online Bongo 9. twtxt Asynchronous communication for open source projects git - remote: Invalid username or password. fatal: Authentication failed for [remote’s URL] product development resources 10 Days in Silence: Vipassana Meditation Book review - un peuple de promeneur - alexandre romanès Book review - journey under the midnight sun (白夜行, byakuyakō) - keigo higashino Book review - how to fail at everything and still win big - scott adams Book review - the remains of the day - kazuo ishiguro Book review - man’s search for meaning - viktor e. frankl Book review - cosmos - michel onfray We don’t care about personas “Building a more private web” by Google — comment on Reddit Replacing Facebook with newsletters