News Messenger: Threema ist seit heute fast vollständig Open Source
- Ersteller SVΞN
- Erstellt am
- Zur News: Messenger: Threema ist seit heute fast vollständig Open Source
Ich bin da ja auch skeptisch was diese Merkmale als alleinige Lösung ansieht.
Allerdings denke ich dass es dafür sorgt dass die Leute ihr Gerät nicht mit lächerlich einfachen Mustern schützen und in Kombination mit einem Muster oder einer PIN die Sicherheit höher ist als vorher.
2 Faktor Anmeldung sozusagen.
Allerdings denke ich dass es dafür sorgt dass die Leute ihr Gerät nicht mit lächerlich einfachen Mustern schützen und in Kombination mit einem Muster oder einer PIN die Sicherheit höher ist als vorher.
2 Faktor Anmeldung sozusagen.
ChotHoclate schrieb:
Gute Frage!
Ich male folgendes Szenario auf:
Du hast eine Handynummer und verbindest dich darüber zu einem Bekannten per WhatsApp.
Dein Chat ist inhaltlich verschlüsselt, WhatsApp (Facebook) hat jedoch deine Metadaten, also wann du mit wem schreibst. Dein Bekannter interessiert sich in seiner Freizeit für rechtsradikale Themen, unter anderem hat er einen Facebook-Account mit seiner Handynummer, ist dort in rechtsradikalen Gruppen angemeldet.
Nun suchst du einen Job auf einer Jobbörse, bspw. LinkedIn. Ein Unternehmen, das viele Migranten beschäftigt, sucht einen neuen Mitarbeiter. Ein Recruiter sucht nun einen passenden Mitarbeiter für dieses Unternehmen. Da LinkedIn sein Geld hauptsächlich durch Premium-Accounts von Recruitern verdient, wäre es toll, wenn die empfohlenen Bewerber sehr gut passen. Dafür macht es Sinn, mehr über die Bewerber zu erfahren, als bloß die freiwilligen Angaben im Profil. LinkedIn könnte bspw. bei WhatsApp/Facebook anfragen, gegen ein gewisses Entgeld, welche Daten sie denn über die Bewerber haben. LinkedIn könnte nun bei WhatsApp/Facebook über die gemeinsame Nummer die Daten anfragen.
Auf einen Job möchte der Recruiter also die 10 am besten passenden Bewerber. Geheime Algorithmen im Hintergrund ermitteln also die gut passenden und die weniger gut passenden Bewerber. Nun ist dein Profil an der Reihe. Dank WhatsApp/Facebook wissen wir, dass du einen Freund hast, der in ganz schön vielen rechtsradikalen Gruppen unterwegs ist. Studien zeigen die Korrelation: Je mehr rechtsradikale Freunde man hat, desto wahrscheinlicher ist man selbst rechtsradikal. Hmm, ich weiß auch nicht, wollen wir so einen in unserem Unternehmen? Naja, fair ist das ja nicht, aber in die Top 10 der Bewerber kommst du damit eher nicht. Schauen wir mal, ob wir Bewerber ohne rechtsradikale Freunde haben.
Schaubild:
[FB-Profil Freund] ---- [Handynummer Freund] --- [WhatsApp] --- [Handynummer Du] --- [LinkedIn]
LinkedIn kennt deine Handynummer, kauft bei WhatsApp/Facebook alle Daten über mit dir über deine Handynummer verbundene Freunde.
---
Das Szenario ist fiktiv. Es geht hier viel mehr darum, dass du nun unter der Kontrolle von anderen Leuten stehst. Du bist abhängig davon, welche Daten von deinen Freunden bestehen. Du bist davon abhängig, wer wo wie Daten kauft. Dass Unternehmen, die mit passenden Datenprofilen Geld verdienen, sich Daten dazukaufen, ist nur naheliegend. In diesem Szenario HOFFST du, dass: deine Freunde nichts "Falsches" machen und Unternehmen keine Daten kaufen.
---
Messenger, die nicht an deine Handynummer gekoppelt sind, lassen dich somit eine neue Identität erstellen. Die Threema-Lizenz-ID ist nicht die Gemeinsamkeit, mit der LinkedIn Daten über dich kaufen könnte im obigen Szenario.
Schaubild:
[FB-Profil Freund] ---- [Handynummer Freund]
[Telegram Lizenz Id Freund] --- [Telegram] --- [Telegram Lizenz Id Du]
[keine Daten] --- [WhatsApp/Telegram] --- [Handynummer Du] --- [LinkedIn]: Du hast kein WhatsApp und bei Telegram bist du nur über die deine Telegram Lizenz Id hinterlegt
---
LinkedIn ist nur ein Beispiel. Eine Jobbörse könnte auch durch ein Datingportal ersetzt werden. Eine dunkelhäutige Person würde bspw. nicht dich in ihren Vorschlägen sehen, weil du mit zu vielen rechtsradikalen Freunden in WhatsApp schreibst. Wichtig dabei ist, dass du gar nicht wissen musst, dass deine Freunde rechtsradikal sind. Sie müssen es nicht mal wirklich sein. Alleine ein paar (falsche?) Korrelationsdaten durch Gruppenmitgliedschaften könnten dich damit ausschließen.
Oder du hast allerlei Freunde, die bei Facebook nach "Schuldenhilfe" suchen. Hmm, wenn ich eine Bank wäre und Kredite vergeben könnte, dann würde ich dir für deinen Hauskauf wohl eher kein Geld geben. Bzw. so weit kommt es ja gar nicht. Ein geheimer Algorithmus zeigt dich erst gar nicht.
---
Kurz: Verbinde dich nicht mit gemeinsamen Faktoren (bspw. Handynummer) auf mehreren Plattformen, wenn dort Persönlichkeitsprofile erstellt werden können, entweder über dich oder über deine Kontakte.
UrlaubMitStalin
Lt. Commander
- Registriert
- März 2011
- Beiträge
- 1.842
Das ist nice... leider bedeutet das nicht, dass man hingehen kann und eine eigene App bauen kann.
OpenSource bei Threema heißt: "Nur gucken, nicht anfassen".
Bei Telegram ist das anders... die bieten eine offene API an... sogar Libs für alle gängigen Programmiersprachen (Java, C++, Phyton, JS, etc.). Bei Telegram kann sich jeder den Code nehmen und sich selbst ne andere, bessere App draus bauen. Und das wird auch fleißig gemacht, es gibt diverse alternative Clients mit Zusatzfunktionen und Clients für Betriebssysteme die ursprünglich nicht supported wurden und für die sonst niemand eine App anbieten: z.b. Sailfish OS (hier gibt mind. 5 Implementierungen von denen 2 noch aktiv weiter entwickelt werden "Telegram'me" und "Fernschreiber").
-> Threema / WhatsApp / Signal / etc sind idR NUR auf iOS udn Android Geräten nutzbar, Telegram auf JEDEM (halbwegs gängigen) OS.
Was Freiheit angeht schließt Threema damit zu Signal auf... aber beide liegen nur auf Platz 3. Der zweite Platz gehört Telegram und der erste [Matrix].
WhatsApp liegt hier wohl irgendwo auf Platz 79.
OpenSource bei Threema heißt: "Nur gucken, nicht anfassen".
Bei Telegram ist das anders... die bieten eine offene API an... sogar Libs für alle gängigen Programmiersprachen (Java, C++, Phyton, JS, etc.). Bei Telegram kann sich jeder den Code nehmen und sich selbst ne andere, bessere App draus bauen. Und das wird auch fleißig gemacht, es gibt diverse alternative Clients mit Zusatzfunktionen und Clients für Betriebssysteme die ursprünglich nicht supported wurden und für die sonst niemand eine App anbieten: z.b. Sailfish OS (hier gibt mind. 5 Implementierungen von denen 2 noch aktiv weiter entwickelt werden "Telegram'me" und "Fernschreiber").
-> Threema / WhatsApp / Signal / etc sind idR NUR auf iOS udn Android Geräten nutzbar, Telegram auf JEDEM (halbwegs gängigen) OS.
Was Freiheit angeht schließt Threema damit zu Signal auf... aber beide liegen nur auf Platz 3. Der zweite Platz gehört Telegram und der erste [Matrix].
WhatsApp liegt hier wohl irgendwo auf Platz 79.
Ich nehme dich nur mal als Beispiel von vielen.ChotHoclate schrieb:
Genau das meine ich, die Meisten interessieren sich nicht für Datenschutz. Vorallem da es digital und unsichtbar passiert, der Schaden nicht sofort sichtbar ist. Missbrauch oder diebstahl von Daten tut nicht weh.
Die Leute handeln erst wenn sie physisch eins in die Fresse bekommen oder der Geldschein aus dem Portmonee verschwindet.
Es hat sich bisher kaum ein Bewusstsein für die persönlichen Daten gebildet.
Die Firmen können weiterhin tun was sie wollen, die Kunden haben kein Bock sich dafür zu interessieren.
Aus dem Kuketz Forum eine Matrix mit nahezu allen relevanten Messengern:
https://media.kuketz.de/blog/messenger-matrix.png
https://media.kuketz.de/blog/messenger-matrix.png
Rollkragen
Lt. Commander
- Registriert
- Apr. 2007
- Beiträge
- 1.977
Und genau das ist und bleibt das Problem bei Telegram, schon seit Jahren haben China (z.B. bei den Honkong Protesten, Russland Weitergabe der Krypto-Keys, USA usw.) backing Trojaner in den offenen Quellcode eingepflanzt-Wie du selbst schreibst, "um eine bessere App" daraus zu machen. Proprietär ist nicht automatisch negativ. Vgl. Apple OS, welches Angreifern nicht einfach macht. Nicht umsonst nutzen viele investigative Journalisten Apple OS. Das die Server von Threema weiterhin proprietär sind, kann demnach auch ein Vorteil sein, denn Spionage irgendwelcher Organisationen ist damit genauso schwierig. Das Thema wurde bereits vor Jahren vom CCC diskutiert und daran hat sich bis heute nichts geändert. Sicherlich auch eine Methode wäre in absehbaren Zeiträumen, die Messanger zu wechsel um keine Routinen zu entwickeln.UrlaubMitStalin schrieb:
###Zaunpfahl###
Lt. Commander
- Registriert
- Jan. 2010
- Beiträge
- 1.599
@Rollkragen "backing Trojaner" und "Thema wurde bereits vor Jahren vom CCC diskutiert"
Hast du dazu auch Quellen?
Hast du dazu auch Quellen?
matschemilla
Cadet 3rd Year
- Registriert
- Dez. 2017
- Beiträge
- 42
Ja ist ein sehr gutes Video. Sollte jeder mal gesehen haben. Egal ob ITler oder nicht 🙂Azdak schrieb:E2E-Verschlüsselung schütz nur den Inhalt, nicht die Metadaten. Wer denkt, Metadaten sind nicht relevant, der kann sich diesen sehr anschaulichen Beitrag ja mal ansehen.
![c[A]rm[A]](https://pics.computerbase.de/forum/avatars/m/4/4429.jpg?1531926676){kind=avatar}
c[A]rm[A]
Lieutenant
- Registriert
- Dez. 2002
- Beiträge
- 550
Danke für das News Update. Man sollte auch schon die Information entsprechend rüber bringen und nicht einfach übernehmen. Das ist ja auch gerade die Politik von Threema. Ich trau denen genau gar nicht. Allein weil das Land nicht in der EU ist und dadurch komplett andere Gesetze hat den Rest um sich besser "beobachten" zu können und deswegen auch der komplette Traffic über die Grenze rein/raus überwacht wird. Was auch Jährlich bei CCC entsprechend berichtet/beanstandet wird neben anderen katastrophalen Missständen.
Man wird leider nie wirklich darum rum kommen entweder etwas Staatlichem oder Privaten(selfhost) zu vertrauen. Da aber beides kaum gegeben ist, wird eben weiter WhatsApp genutzt. Gestern versuchte ich erst wieder jemanden zu Matrix zu bekommen der hauptsächlich Facebook und Whatsapp nutzt. Sinnlos. Mastodon ist hier immerhin schon kein Fremdwort mehr. Wobei mal das Fediverse ruhig erweitern könnte.
Man wird leider nie wirklich darum rum kommen entweder etwas Staatlichem oder Privaten(selfhost) zu vertrauen. Da aber beides kaum gegeben ist, wird eben weiter WhatsApp genutzt. Gestern versuchte ich erst wieder jemanden zu Matrix zu bekommen der hauptsächlich Facebook und Whatsapp nutzt. Sinnlos. Mastodon ist hier immerhin schon kein Fremdwort mehr. Wobei mal das Fediverse ruhig erweitern könnte.
hardwärevreag
Commander
- Registriert
- Mai 2006
- Beiträge
- 3.033
@mastaqz: Das gibt es heute schon. So arbeitet zum Beispiel die Schufa. Macht halt nen Unterschied, ob man Frankfurter oder Offenbacher ist. Wer sich darüber jetzt groß aufregt, sollte mal darüber nachdenken, wie man selbst Menschen im Alltag gruppiert. Zum Beispiel denken wir über Akademiker, dass sie intelligenter seien oder über Schwarze, dass sie meistens arm seien. (Wers nachgooglen will: Implicit Association Test (IAP))
Viele der Gruppen, denen man angehört, kann man nicht verändern. Andererseits: Mit ausreichend Mühe kann man selbst aus einem Schwarzen (Michael Jackson) einen Weißen machen und aus Männern Frauen (oder umgekehrt (Transsexualität//Geschlechtsangleichende OPs)). Und es zwingt dich auch keiner Nazi-Freunde zu haben oder mit Muslimen und anderen Migranten abzuhängen.
Ob wir in einer Welt, die so strukturiert ist und so denkt, leben wollen, ist eine andere Sache. Aber ehrlichgesagt weiß ich mit nun fast 30 Jahren, dass auch ein Grünwähler und Gutmenschen kein Asozialenheim (Flüchtlinge, Drogenabhängige, anderer Bodensatz) in der Nachbarschaft haben wollen. Alle sind auf der "richtigen" Seite solange es einen selbst nicht belangt. Folgerichtig bastelt jeder seine Wohlstandsfestung und guckt, dass die eigenen Kinder die richtige Schule besucht. Wenn ihr wissen wollt, wie Menschen wirklich denken, guckt auf ihre Taten. Da, wo es zählt.
Und dabei ist es im Übrigen ganz egal, ob ihr nun 1,99€ in den Gulli geworfen habt für einen Messenger, der eh kein Schwein bockt. Zumal die meisten Nasen, die hier von Widerstand faseln, eh nur Müll erzählen und bei WA und Co rumhängen. Habe noch keinen getroffen, der nicht ein Vollspacken ist, der seine Arbeit kündigt, weil die Kollegen WhatsApp, Telegram oder schlagmichtot nutzen. Es ist ein Messenger. Der Mehrwert besteht in der Kommunikation (mit anderen).
#Peace - I am out.
Viele der Gruppen, denen man angehört, kann man nicht verändern. Andererseits: Mit ausreichend Mühe kann man selbst aus einem Schwarzen (Michael Jackson) einen Weißen machen und aus Männern Frauen (oder umgekehrt (Transsexualität//Geschlechtsangleichende OPs)). Und es zwingt dich auch keiner Nazi-Freunde zu haben oder mit Muslimen und anderen Migranten abzuhängen.
Ob wir in einer Welt, die so strukturiert ist und so denkt, leben wollen, ist eine andere Sache. Aber ehrlichgesagt weiß ich mit nun fast 30 Jahren, dass auch ein Grünwähler und Gutmenschen kein Asozialenheim (Flüchtlinge, Drogenabhängige, anderer Bodensatz) in der Nachbarschaft haben wollen. Alle sind auf der "richtigen" Seite solange es einen selbst nicht belangt. Folgerichtig bastelt jeder seine Wohlstandsfestung und guckt, dass die eigenen Kinder die richtige Schule besucht. Wenn ihr wissen wollt, wie Menschen wirklich denken, guckt auf ihre Taten. Da, wo es zählt.
Und dabei ist es im Übrigen ganz egal, ob ihr nun 1,99€ in den Gulli geworfen habt für einen Messenger, der eh kein Schwein bockt. Zumal die meisten Nasen, die hier von Widerstand faseln, eh nur Müll erzählen und bei WA und Co rumhängen. Habe noch keinen getroffen, der nicht ein Vollspacken ist, der seine Arbeit kündigt, weil die Kollegen WhatsApp, Telegram oder schlagmichtot nutzen. Es ist ein Messenger. Der Mehrwert besteht in der Kommunikation (mit anderen).
#Peace - I am out.
###Zaunpfahl###
Lt. Commander
- Registriert
- Jan. 2010
- Beiträge
- 1.599
Ich hoffe du meinst das wörtlichhardwärevreag schrieb:
.Grüße von allen + Bodensatz...
DiamondDog
Captain
- Registriert
- März 2004
- Beiträge
- 3.724
Cool Master schrieb:
das ist genau der Punk.
Bei Telegram probieren die Leute es zumindest aus, die Masse bleibt aber bei WhatsApp.
Wenn aber eine Paywall davor steht, schreckt es wirklich beinahe jeden ab.
Weil... was soll ich mit ner App die keiner nutzt? Ist wie ein Multiplayer ohne Mitspieler zocken
Zuletzt bearbeitet:
UrlaubMitStalin
Lt. Commander
- Registriert
- März 2011
- Beiträge
- 1.842
Was ein Schwachsinn... in die offiziellen Apps haben Chinesen oder Russen GAR NICHTS "eingepflanzt"... wer einen Backdoor-Client aus unbekannter Quelle, ohne offene Quellen einsetzt, der ist es selbst Schuld.Rollkragen schrieb:
Das ist in KEINSTER Weise ein "Fehler" von Telegram, sondern immer die Gefahr wenn man Freiheiten lässt... es gibt immer Leute die es ausnutzen.
An niemanden wurden "Krypto-Keys" weiter gegeben... und die Sache in Hong Kong war einfach ein Feature das die Chinesischen Behörden ausgenutzt haben. Telegram zeigt nämlich die Nummer nur dann an, wenn der jenige auch in Deinem Adressbuch ist... wen jetzt die Behörden einen Account in eine Protest-Gruppe einschleußen, der das gesamte Telefonbuch in seinen Kontakten hat, dann sieht er natürlich auch alle Nummern.
Es hat nur wenige Tage gedauert, bis es zum Schutz gegen diesen Exploit einen Datenschutz-Patch gab, der es erlaubt die Nummer IMMER zu unterdrücken.
Bitte erst informieren, bevor Du halbgare Bashing-Bla-Bla-Buzzwords raus haust.
Doch. Propritär ist IMMER schlecht... es macht es den Angreifern zwar manchmal schwerer (im Falle von WhatsApp ist das nicht der Fall, da gibts Sicherheitslücken so groß wie Flugzeughangar), aber die Firma hat die ultimative Kontrolle.
Auch Deine Beispiele mit "Apple OS" sind absolut unschlüssig. Es heißt Mac OS oder OSX. Das viele investigative Journalisten es nutzen halte ich einfach mal für eine Behauptung...
Linux ist offen und hier in Sachen Datenschutz vorzuziehen.
Und was sollen eigentlich "Backing-trojaner" sein?
Klar, wenn jemand die Kontrolle über den PC / Handy hat, sei es über HW-Zugriff oder über einen Trojaner, dann kann er sowieso alles machen... das ist kein Tg Fehler, das betrifft alle Daten und Programme auf dem Gerät.
Zuletzt bearbeitet von einem Moderator:
(Komplettzitat entfernt)
Wann du, deine Familie und deine Freunde, von wo (zumindest grob), mit wem und wie lange während den letzten 10 Jahren kommuniziert haben "kann" durchaus interessant sein und das ist das mindeste, was der Betreiber eine Messenger Dienstes eben erfährt (und dann ist es zumindest theoretischauch möglich, dass der Client so programmiert ist, dass der Betreiber (oder Regierung) dann doch an deinen Schlüssel kommt und damit auch dein Inhalt der Nachrichten lesen kann.ChotHoclate schrieb:
Ich denke aber deine vollommen berechtigte Frage zeigt das Problem bei der Sache. In 99,9% der Fälle hat Datenschutz keinen Kurzfristigen Mehrwert für die Nutzer und auch langfristig reden wir hier eher von abstrakten und möglichen Gefahren. Im Ergebnis führt das dazu, dass sich leider kaum jemand dafür interessiert.
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.787
Das Problem ist ja, das überhaupt die Telefonnummer als ID genutzt wird. Würde man das nicht machen, würde man keine Telefonnummer brauchen und würde auch kein Zugriff aufs Adressbuch brauchen.UrlaubMitStalin schrieb:
Sprich: Der gefixte Bug ist ja ganz nett. Aber schon allein das Konzept ist suboptimal.
Das einzige was für die Telefonnummer als ID spricht ist der Komfort. Aber Komfort und Security gehen halt öfter mal nicht gut zusammen. Ein Kompromiss wäre es ja noch gewesen zu sagen, das man eine unabhängige ID nimmt und wer dann will kann das mit der Telefonnummer ja dann noch aktiv(!) verknüpfen um Komfort zu gewinnen. So kann man beide bedienen. Diejenigen die auf Sicherheit bedacht sind und die Bequemen.
Aber man hat sich dagegen entschieden. Und das kann man einem Messenger-Dienst der sich ja explizit Security verschrieben hat dann schon vorwerfen.
Zumindest kann man aber nicht sagen, das das doch alles kein Problem wäre.
Rollkragen
Lt. Commander
- Registriert
- Apr. 2007
- Beiträge
- 1.977
https://securityaffairs.co ;
https://www.welt.de/wirtschaft/webw...eitslecks-beim-Messenger-Dienst-Telegram.html
@UrlaubMitStalin
Wo sind deine Quellen das die Keys nicht weitergegeben worden, oder das es nur ein "Feature" der Chinesen war? Es gibt Aussagen, die dafür sprechen und jene die dagegen sprechen.
https://www.welt.de/wirtschaft/webw...eitslecks-beim-Messenger-Dienst-Telegram.html
@UrlaubMitStalin
Wo sind deine Quellen das die Keys nicht weitergegeben worden, oder das es nur ein "Feature" der Chinesen war? Es gibt Aussagen, die dafür sprechen und jene die dagegen sprechen.
Zuletzt bearbeitet:
