News Apple und Google: Regierungen überwachen Nutzer über Push Notifications

[IA0VI]

@riloka Je nach App und wie viel Mühe du reinstecken willst:
Bei Open Source-Apps kannst du in den Quellcode schauen (Am besten bei App und Server).
Bei Closed Source-Apps, die Ende-zu-Ende-Verschlüsselung bieten, kannst du den Datenverkehr mitschneiden, wenn du eine Nachricht schickst und schauen ob eine zweite Nachricht an einen anderen Server geht.
Bei allem anderen wirst du auf eine ordentliche Implementierung vertrauen müssen*.

Aber wie gesagt: Es ist unwahrscheinlich, das Nachrichteninhalte im großen Stil über den Push-Server gehen.

*Ein gewisses vertrauen ist immer nötig. Ist die Verschlüsselung bei der Closed Source-App überhaupt oder korrekt implementiert? Basiert bei der Open Source-App das bei dir/auf dem Server installierte auf dem veröffentlichten Quellcode? Du kannst nicht alles kontrollieren - es zu versuchen führt eher zu Paranoia statt zu gesteigeter Sicherheit.

 

[riloka]

Aber wie gesagt: Es ist unwahrscheinlich, das Nachrichteninhalte im großen Stil über den Push-Server gehen.

Ich hätte auch erwartet dass in der Push Nachricht steht "jo liebe App, update für dich" und dann holt sich die App den Rest selber ab. Dass da irgendwas nennenswertes übertragen wird , Designfehler?

 

[ric84]

Da Du bei Pixel Devices den Bootloader entsperren und anschließend wieder sperren kannst, somit kannst Du jederzeit den "Orginalzustand wieder herstellen.
Und für GrapheneOs brauchst Du einen signierten Bootloader, funktioniert zwar auch ohne aber dann braucht man auch kein GrapheneOs.
Korrektur: auch bei anderen Hersteller lassen sich Bootloader öffnen und schließen, früher wurde glaube ich, auch ein anderer Hersteller unterstützt. (Xiaomi glaube ich).
DivestOS verfolgt da einen ähnlichen Ansatz.

Hab früher auch oft Custom Roms drüber gebügelt, machte wirklich Spaß. Aber seit die Banking Apps damit zum Teil nicht mehr funktionieren oder es überhaupt kaum noch möglich ist den Bootloader zu entsperren, so hab ich es mittlerweile auch schon seit Jahren sein lassen. War aber eine tolle Erfahrung.

Oh ja, das gute alte HTC Desire, man konnte es sogar übertakten

 

[IA0VI]

Dass da irgendwas nennenswertes übertragen wird , Designfehler?

Ohne die Implementierung zu kennen ist das alles Spekulation, aber neben Designfehler könnte ich mir noch vorstellen, dass der eine oder andere die Kosten für die eigene Infrastruktur senken will, indem er Inhalte über den Push-Dienst verteilt.
Solange dabei keine zu großen Datenmengen anfallen, bleibt man damit ggf. unter dem Radar von Google/Apple.

 

[deollz]

@ric84
Mit den Pixel Handys ist das heute wirklich einfach geworden, ich kenne da auch noch andere Zeiten.
Online Banking mach ich am Linux Desktop. das ist es mir persönlich nicht Wert, um auf die Sicherheit am Mobile Device zu verzichten.

 

[schidddy]

Hab früher auch oft Custom Roms drüber gebügelt, machte wirklich Spaß. Aber seit die Banking Apps damit zum Teil nicht mehr funktionieren oder es überhaupt kaum noch möglich ist den Bootloader zu entsperren, so hab ich es mittlerweile auch schon seit Jahren sein lassen. War aber eine tolle Erfahrung.

Oh ja, das gute alte HTC Desire, man konnte es sogar übertakten

alle ebanking apps funktionen seit längeren vollständig und ohne Probleme auf CalyxOS mit Micro G (push kann seperate deaktiviert werden), oder auf GrapheneOS mit sandboxed GooglePlay ohne Systemrechte

 

[Hansdampf12345]

Und dir kommt nicht in den Sinn warum das so ist?
Beispiel: Jahrelang haben Datenschützer schon das vermutet, was Edward Snowden 2013 bestätigt hat. Jahrelang hat man diese Menschen nicht beachtet, lächerlich gemacht oder gar als staatsgefährdende Verschwörungstheoretiker abgestempelt. Als dann unwiderlegbare Fakten auf den Tisch gelegt worden sind, konnten diese Leute endlich wieder rein gewaschen werden und sind natürlich wieder zurück gekommen und sagten "ich hab's euch ja gesagt!".
[...]

Lest ihr Beiträge, bevor ihr sie missversteht und drauf los schreibt?
Es ging hier nicht um Leute, die seit Jahren auf Problematiken hinweisen und jetzt zu Recht sagen "Hab ich euch doch gesagt", sondern um die, die hinterher immer alles schon wussten.

Sind sie nicht, sie werden nur von Leuten wie Dir als paranoide, ewig gestrige oder sonst was abgecancelt. Aber sich mit möglichen Gefahren auseinanderzusetzen ist ja auch nicht so bequem wie einfach alles nutzen und hinterher zu jammern.

Wo jammere ich denn? Wo cancel ich denn jemanden? Wer sagt, dass ich mich mit Dingen nicht auseinandersetze (ich nutze das normale Handy nicht, weil ich kein Smartphone bedienen kann)?

Was soll dieser ****iss Kommentar? Schon mal was von Snowden gehört??

Genau, irgendwelche "Wusste ich doch schon immer"-Leute hier aus dem Forum mit Snowden vergleichen...
Der Mann kam übrigens mit Fakten und Beweisen um's Eck.

Ach, ist ja interessant! Und wieso sollte Dich dann jemand über die Problematik der Google-Notifications informieren?

"Hör mal, Hans Dampf, auch wenn Du zwar nur ein gutes altes Dumbphone hast, nimm Dir mal bitte 10 Minuten, setz Dich her, ich möchte Dich über ein etwas informieren, das Dich gar nicht betrifft!" Oder wie?


Und das ist eben eine hanebüchene Vorstellung. Du sitzt da und "wirst informiert". DU musst DICH informieren. Es ist DEINE Verantwortung.


Hat man Dich auch darüber nicht informiert? Dann google mal "f-droid push notification" oder "f-droid firebase". Da kannst DU DICH informieren.

Auch, wenn dir das unbekannt ist, aber genau so funktioniert eine Diskussion. Ich bringe ein Argument oder eine Behauptung und muss diese dann auch belegen, nicht derjenige, dem ich sie an den Kopf werfe.

Ich weiß, dass das in gewissen Thematiken ein schwieriges Unterfangen ist, aber so läuft das halt.

Und mich sollte überhaupt niemand über die Google-Notification-Problematik informieren. Es geht um die Schlauen Leute hier, die HINTERHER immer rufen "Wusste ich doch!" aber VORHER nichts gesagt haben.

Und ich glaube kaum, dass alle F-Droid Nutzer sich über die Thematik von Unified Push im Klaren sind. Ursprünglich ging es bei F-Droid ja um freie, sichere Software.


Lernt doch mal nen Beitrag zu lesen und sinninhaltlich zu erfassen.

Aber schon spannend, wie ihr hier alle wie die getroffenen Hunde los bellen.

 

[riloka]

alle ebanking apps funktionen seit längeren vollständig und ohne Probleme auf CalyxOS mit Micro G (push kann seperate deaktiviert werden), oder auf GrapheneOS mit sandboxed GooglePlay ohne Systemrechte

Der Fokus is "ohne Systemrechte". Wenn du für irgendwelche Zusatzfunktionen Root hinter ner Abfrage hast und Tools dafür installiert hast, wird es ein widerliches Katz und Mausspiel.
Absoluter Unsinn. Wer sein Handy mit EntwicklerFunktionen aktiv nutzt, wird ja wohl nicht jeder beliebigen App Root-Rechte einräumen.
Abgesehen davon: Kann bei Android immer nochn Bug drin sein.
Das is unmöglich das mir die Bank vorschreiben will wie ich mein Gerät zu nutzen habe.
Wenn dann die Sparkasse sagt: Alle Kartenzahlungen müssen mit der S-Push-Tan App freigegeben werden: ZONK-

 

[schidddy]

Ich weiss jetzt nicht genau was du damit sagen willst. Auf Graphene hat kein extern installierte App root Rechte. Graphene ist auch nicht gerootet. Ein Smartphone, das sicher produktiv im alltag verwendet werden soll, gehört auch nicht gerootet

 

[zelect0r]

Tja. Deswegen De-Google your Phone! Use CalyxOS oder LineageOS...

Hast du mal geschaut welche Geräte von CalyxOs unterstützt werden?
Nein? Dann solltest du das mal tun.

https://calyxos.org/install/

 

[Yosup]

Und ich glaube kaum, dass alle F-Droid Nutzer sich über die Thematik von Unified Push im Klaren sind. Ursprünglich ging es bei F-Droid ja um freie, sichere Software.

Sicherlich, "alle" ist in der Regel eine unzulässige Verallgemeinerung.

Es ist für F-Droid ein relevantes Thema, weil F-Droid die Apps nur ohne Anbindung an Google Firebase ausliefert (da eben - und darum geht es ja bei F-Droid, wie Du richtigerweise schreibst - es eine unfreie Lösung ist). Damit sind zumindest die User der Apps, die Notification-Funktionalität haben, mit dem Thema konfrontiert. Zugegebenermassen kriegen all jene, die nur "unkommunikative" Apps installieren davon nichts mit, ja.

Aber schon spannend, wie ihr hier alle wie die getroffenen Hunde los bellen.

Alle? Da sind wir also quit was unzulässige Verallgemeinerungen betrifft.

Ich beschäftige mich schon länger mit alternativen Notificationsystemen und bin daher sicherlich kein "getroffener Hund". Den Eindruck machst gerade eher Du auf mich. Dein initiales Posting in diesem Thread enthält ziemlich viel Murks - ja und? Ist mir auch schon passiert. Angriff ist da nicht die beste Verteidigung.

 

[usponly]

Komisch, ich dachte nur die Chinesen spionieren.

 

[TimTaylorX]

Dann versuche ich dir das zu beantworten. Bei Firebase z.B. ist Ende-zu-Ende Verschlüsselung nur optional,
https://firebase.google.com/docs/cloud-messaging/concept-options?hl=de#encryption_for_data_messages
Wenn man das nicht extra selber einbaut bei der Entwicklung, gehen halt die Messages plain text durch, ganz einfach. (Ich muss gestehen, dass ich das selber schon so eingebaut (ohne encrpytion) habe, deshalb sind für mich die News nicht neu)

Uff das ist Fail by Design o.O und bei Apple das gleiche?

 

[CountSero]

Ok wieder was gelernt, dachte das geht direkt über das Handy^^

Dann werde ich morgen mal alles abschalten, brauchen tue ich es nicht wirklich ist halt wie immer Bequemlichkeit.

Aber ich habe auch kein Problem damit mal eben mein Telefon zu entsperren um zu schauen was für eine Nachricht gekommen ist.


Das man zum Schweigen verpflichtet wurde durch US GOV wundert mich gar nicht, solche Sachen sind doch schon öfter Public geworden.

Die Frage die anschließend bleibt, was werden die Unternehmen nun unternehmen ? Werden Sie hier aktiv und mehr für den Nutzer in Sachen Sicherheit tun da es ja nun Public geworden ist.

Apple hatte sich ja auch vor 5-6 Jahren gewährt die End to End Encryption für iCloud auf Anfrage des FBI aufzubrechen.

Wäre doch mal ein Punkt hier aktiv zu werden und den Kunden mehr Sicherheit zu bieten.

 

[Denjo25]

man hält sich zurück, da seit geraumer Zeit recht schnell die Verschwörungstheorie-Keule geschwungen wird, wenn man Vermutungen dieser Art äußert ohne unmittelbar konkrete Beweise vorlegen zu können.
Denn es kann ja nicht sein, was nicht sein darf.

Und hier sieht man das mal wieder das es doch sinnvoll ist sich nicht zurück zu halten und sowas immer mal wieder anzusprechen.
Die Wahrheit muss gesagt werden sonst werden andere Sachen als Wahrheit gebastelt.

Was hab ich mich während Corona dumm anmachen lassen müssen von allen möglichen Leuten. Was hab ich diskutiert... und vieles Bestätigte sich und schlussendlich vor ein paar Wochen sogar von der EMA.

 

[crypto.andy]

Hast du mal geschaut welche Geräte von CalyxOs unterstützt werden?
Nein? Dann solltest du das mal tun.

https://calyxos.org/install/

Hast du schon mal den Spruch "wenn man keine Ahnung hat, einfach mal Fresse halten" gehört?

Nein?

Na, jetzt hast dus. ;-))

 

[Denjo25]

Schön das der Staat Verbrechen begehen darf ohne Folgen. Geheimdienste und Schattenbuchhaltungen sind Einladungen für jedwede Schweinerei. Ein Konstrukt was Gesetze erfinden kann wird sich zwangsläufig mehr und mehr Macht zuspielen. Was erwartet man?

Wenn es keiner weiß kann keiner was dagegen tun. Deswegen müssen es so viele Leute wie möglich wissen damit ins Handeln gekommen wird. Irgendwann ist eine kritische Masse erreicht und eine Dynamik damit ausgelöst.

Ergänzung (8. Dezember 2023)

Ha ha ha haaaaaa !
Der sogenannte Werte-Westen, will mal wieder seine Bürger vor sich selbst schützen !
🤮l

Das ist doch nur ein vorgeschobenes Argument...

Ergänzung (8. Dezember 2023)

Mich würde ernsthaft interessieren wie BlackBerry das Thema gehandhabt hätte...

Blackberry war Mitglied der FiveEyes

 

[Slim.Shady]

Blackberry war Mitglied der FiveEyes

Ich dachte nur die 5 Staaten sind Mitglieder?

 

[Viper2000]

Beleglose Vermutungen ohne Beweise sind eben nur inhaltsleeres Geschwurbel. Auch wenn hinterher stimmt braucht man sich hinterher nicht zu freuen, weil man zufällig richtig lag.

...es gibt halt Verschwörungen, vor allem in der Wirtschaft. Wer hier oder da Recht hat. Weder die extremen "Schwurbler" noch die politisch korrekten interessiert das. Wir hatten nal so einen Virus bei dem das so bestätigt wurde ;-)

 

[Denjo25]

Ich dachte nur die 5 Staaten sind Mitglieder?

Ja, und Blackberry ist eben ein kanadisches Unternehmen.
Google und Apple sind amerikanische Unternehmen.
Hast den Artikel ja gelesen 😏
Gibt nen guten Spiegel Artikel zum Thema Spionage/FiveEyes und Blackberry wird da auch erwähnt. Da war der Spiegelznoch gut und hat Dinge aufgedeckt bzw hinterfragt.

Man hab ich meine Blackberrys geliebt.

Ergänzung (9. Dezember 2023)

Beleglose Vermutungen ohne Beweise sind eben nur inhaltsleeres Geschwurbel. Auch wenn hinterher stimmt braucht man sich hinterher nicht zu freuen, weil man zufällig richtig lag.

Es gibt immer Hinweise weil niemand etwas zu 100% richtig machen kann. Fehler sind menschlich. Wenn man mit offenen Augen und kritischem Geist durch die Welt geht kann man schon einiges sehen.
Verschwörungen gibt es überall, vor allem wenn es um Geld geht. Recherchier doch mal spasseshalber über Osram und Phillips. Aber bitte nicht per google, da ist die Blacklist schon so krass das man das kotzen bekommt bei Themen.
Oder letztens über Michael Jackson gelesen. Er hatte einen Musikkatalog das es kracht. Also die Rechte an Musik. Sony wollte den damals auch haben😏