News Messenger: Threema ist seit heute fast vollständig Open Source

[wuesty]

ich bin erstaunt ganze 6 kontake haben das von dennen ich aber nur 2 aktiv nutze na immerhin bin nicht ganz alleine

 

[KitKat::new()]

Bei mir ist jeder einzelne Chat in Telegram ein Secret Chat. Alles was es braucht, sind 2 Klicks. Das ist doch kein Hexenwerk.

Und hast damit ne schlechte Usability + kein normaler Mensch macht das.

Hat das schon jemand probiert, und fallen die 2€ zur Nutzung von Threema auf diese Weise trotzdem an?

Man braucht einen Accesscode.

 

[ThePlayer]

Hast du nen Link zu dem Artikel?

Hier ist der Link, ist eine Übersetzung aus einer Norwegischen Publikation.
Ich habe den Artikel noch nicht komplett gelesen. Aber es sieht so aus als würden sich weder die App Entwickler und schon garnicht die Werbenetzwerke dahinter an ihre AGBs oder die DSGVO halten.
Und alle möglichen erhobenen Daten nutzen und verkaufen.
https://www.golem.de/news/datenschu...meinem-smartphone-aufspuerte-2012-152829.html

 

[Autokiller677]

Threema zählt da übrigens auch dazu.

Und eigentlich ist das ziemlich einfach: Qr-Code abscannen oder ein paar Smileys vergleichen. Absolut kein Akt.

Ne, eher absolut unsicher. Eine App zeigt dir irgendwelche Bildchen an, die angeblich den Fingerprint repräsentieren. Ob das stimmt? Kannst du nicht wissen. Ob vom Server noch kurz per MITM ein anderer Key untergeschoben wurde, so dass der Mitteslman mitlesen kann? Weißt du auch nicht.

Die Sicherheit bekommst du erst (halbwegs), wenn du den Key selber in einer dritten Software erzeugst (also z.B. gpg), dir von der Software den Fingerprint geben lässt, und dann den Key in deine Kommunikationssoftware fütterst. Wenn dann beim Gegenüber immer noch der gleiche Fingerprint ist, dann hast du etwas mehr Sicherheit.

Aber selbst das ist noch kritisch. Verschlüsselung & Public-Key-Verteilung laufen dann immer noch in einer Binary, die vom Kommunikationsanbieter kommt. Der kann also mit jedem Update eine MITM nachreichen, und auch die Fingerpringt-Anzeige manipulieren. Oder einfach alle Private-Keys zu sich hochladen. Da hilft auch OpenSource wenig - oder kompiliert hier plötzlich jeder seine APKs selbst aus einer auditierten Version des Source Codes? Oder vergleicht zumindest den Hash der Binary mit einer bekannt unkompromitierten Version?

Massentaugliches E2EE funktioniert aktuell nur, wenn man dem Mittelsman vertraut, dass er keine MITM-Attacke startet und das Key-Management nicht manipuliert.

Ja, das erfüllt dann nicht die fettesten Sicherheitsanforderungen. Aber solange der Dienstanbieter nicht zu einer Backdoor genötigt wird, ist es sicher, und wenn die Nötigung kommt, sind Nachrichten aus der Vergangenheit immerhin weiter geschützt. Ist der beste Kompromiss aus Sicherheit & Bequemlichkeit, den man aktuell hinbekommt.

 

[KitKat::new()]

Ne, eher absolut unsicher. Eine App zeigt dir irgendwelche Bildchen an, die angeblich den Fingerprint repräsentieren. Ob das stimmt? Kannst du nicht wissen. Ob vom Server noch kurz per MITM ein anderer Key untergeschoben wurde, so dass der Mitteslman mitlesen kann? Weißt du auch nicht.

Doch, weil der Server bei dem Prozess gar nicht involviert ist.

Aber selbst das ist noch kritisch. Verschlüsselung & Public-Key-Verteilung laufen dann immer noch in einer Binary, die vom Kommunikationsanbieter kommt. Der kann also mit jedem Update eine MITM nachreichen, und auch die Fingerpringt-Anzeige manipulieren. Oder einfach alle Private-Keys zu sich hochladen. Da hilft auch OpenSource wenig - oder kompiliert hier plötzlich jeder seine APKs selbst aus einer auditierten Version des Source Codes? Oder vergleicht zumindest den Hash der Binary mit einer bekannt unkompromitierten Version?

Tatsächlich, aber dann müssten alle Appanbieter mit unter der Decke stecken (sonst würde es ja z.B. auffallen, wenn jemand mit einer vertrauenswürdigen App eine Verifizierung durchführen möchte ).
Schon weit unwahrscheinlicher

Ja, das erfüllt dann nicht die fettesten Sicherheitsanforderungen.

Es hat 0 Mehrwehrt und macht daher E2EE quasi zu Marketing.

 

[Autokiller677]

Bei mir ist jeder einzelne Chat in Telegram ein Secret Chat. Alles was es braucht, sind 2 Klicks. Das ist doch kein Hexenwerk.

Ne, aber man schmeißt die Multi-Device Fähigkeit gleich ganz weg. Bei WhatsApp gibts wenigstens noch die Web-Krücke für den Notfall. Bei Telegram hat man da dann gar nix mehr.

Ergänzung (21. Dezember 2020)

Doch, weil der Server bei dem Prozess gar nicht involviert ist.

Wird dir erzählt. Kannst du nicht prüfen, außer du auditierst den Code & kompilierst dir die App selbst. Und selbst dann weißt du nicht, ob die Versionen aus Play- und AppStore auch clean sind - solang also deine Kommunikationspartner nicht auch irgendwie eine geprüfte Version installieren, kann sonst da abgefischt werden.

Und wenn man GANZ paranoid wird: für die großen Messenger könnte auch in den Smartphone-OS ein Hintertür stecken, die die Daten direkt extrahiert. Lohnenswert wärs.

 

[gustlegga]

Braucht Threema eigentlich diese Google Messaging Pushservices?
Ich frag nur, weil ich am Handy ein Googlefreies Lineage habe.
Kaufen könnt ichs mir ja über die Playstore Webseite.
An die APK kommt man ja normalerweise so auch dran.
Hab mich bis jetzt erfolgreich gegen einen Messenger gewehrt.
Wird doch eh hauptsächlich nur viel Blödsinn rumgeschickt.
Das hat mich früher schon genervt wenn man dauernd "lustige" Mails bekommen hat....

 

[KitKat::new()]

Und selbst dann weißt du nicht, ob die Versionen aus Play- und AppStore auch clean sind - solang also deine Kommunikationspartner nicht auch irgendwie eine geprüfte Version installieren, kann sonst da abgefischt werden.

Bei einer größeren Menge involvierten Unternehmen (u.a. nonprofit-Organisationen) und zusätzlich tausend Möglichkeiten aufzufliegen vs. Firmenleak von Apple notwendig

Ersteres: Klingt nach Verschwörungstheorie
Letzteres: Snowden sagt hallo

Dass es hier einen gewaltigen Unterschied gibt, ist nicht zu leugnen.
Und bei professionellen Nutzern würde ich sogar sagen, dass ein eigener Audit nicht unwahrscheinlich ist (siehe Threema und Matrix großflächig an Schulen oder Bundeswehr, oder Matrix bei Regierungen).

 

[Iwwazwersch]

Von den ganzen Metadaten, die bei Facebook landen wenn ich bei WhatsApp (un)verschlüsselt jemandem eine Nachricht schicke, mal ganz zu schweigen.
Aufgrunddessen kann ich beim besten Willen nicht erkennen, wie WhatsApp die datenschutzfreundlichere Alternative zu Telegram sein soll. Es ist aber eine Aussage, die jedes Mal in dieser Diskussion aufkommt und die sich wacker hält - was übersehe ich hier?

Du übersiehst, das wie ich schon vorher geschrieben habe, landen bei Telegram die Metadaten genauso bei irgendjemandem. Und das Gros der Nachichten auch. Bitte erzähl mir nicht, das diese nicht weiterverkauft werden und Telegram im Game der Good Guy ist.

Wenn Datenschutz wichtig ist, dann schon wie hier von einigen öfter erwähnt Threema oder Signal, Matrix kenn ich tatsächlich nicht aber ist ja anscheinend noch besser da dezentral.

Was Datenschutz angeht ist Telegram der größte Fail, dann WhatsApp.

Hat ja eben schon jemand den ganzen Artikel gepostet. Hier nochmal die Tabelle dazu. Ich geh mal davon aus, das die Quelle halbwegs Seriös ist. Der Blog sollte ja bekannt sein.

https://media.kuketz.de/blog/messenger-matrix.png

 

[St3ppenWoLF]

In meinem Umfeld würde ich mir wünschen, dass mehr Leute Threema oder Signal nutzen
Ein Kumpel und ich haben zumindest schon ein gutes Dutzend Leute von Signal überzeugen können, was immerhin ein Anfang ist ^^

 

[tox1c90]

Sage dann: Ich bin nur noch über Threema zu erreichen, oder du rufst an. Irgendwann wird es doch installiert. Und dann sehen diese Leute einfach: Hey cool, xy ist ja auch schon da.

Und häufig heißt es dann einige Monate später: WhatsAppSchalten


Wechselwillige finden hier eine schöne Anleitung wie der Wechsel trotz vieler Nutzer anderer Messenger gelingt:

https://twitter.com/LeonHBB/status/1259062502694027266/photo/1

Ehrlich gesagt halte ich das weniger für konsequent als eher für vermessen und arrogant, alle Kontakte zu einem anderen Messenger zerren zu wollen nur weil man den selber bevorzugt, und dann zu erwarten, dass sie einem folgen unter Androhung von totaler Funkstille.

Konsequenz zeigen kann man nämlich auch in die andere Richtung: Ich z.B. werde auch in Zukunft so konsequent sein bei meinen Messengern, die ich gewohnt bin zu nutzen und über die ich praktisch alle erreiche, zu bleiben. Und ich werde mich nicht darauf einlassen, mir extra nur für einzelne Kontakte irgendwelche weiteren Messenger zu holen, an denen ich selber eigtl. kein Interesse habe, nur weil ein paar Kontakte meinen, sie müssten jetzt etwas Neues ausprobieren.

Bei einem Kontakt, der mir so kommt wie du vorschlägst, würde ich dann tatsächlich auf klassische Kommunikationswege ausweichen und, wenn es dringend ist, einfach anrufen oder, wenn es Zeit hat, eine SMS oder E-Mail schreiben. Alles was darüber hinaus geht, geht dann mit diesem Kontakt eben einfach nicht. Das nehm ich dann so hin.

 

[crackett]

Weil genau solche Menschen wie du die evtl nur auf Whatsapp setzen weil es kostenlos sind keine chance für andere messenger bieten. Ist ja nicht zu viel verlangt 2€ zu bezahlen für ein sicheren messenger oder? Wer sich zu fein ist für 2€ ein sicheren Messenger anzulegen sollte nochmal sein leben überdenken und mehr sicherheit von personenbezogenen daten sprechen wenn es dem jenigen eh kack egal ist.

Ich habe gar nicht von mir gesprochen - versuch doch einfach mal, Deine Eltern zu was anderem als WA zu bewegen....oder oder... Fakt ist doch, daß viele schon 5 Jahre gebraucht haben, um mit WA richtig umgehen zu können und die sollen jetzt „schon wieder“ was Neues lernen? Wozu? Funktioniert doch, kostet “Nix“ (ich hab nix zu verbergen...) und bei dem anderen Dienst ist doch gar keiner - Du wirst auf Granit beißen!
Ich würde auch mehr als 2€ ausgeben, aber was nützt mir das am Ende? Die Masse interessieren Deine Beweggründe einen Sche**ß, sonst wären sie doch gar nicht bei WA! 😁

 

[Rubyurek]

Ich habe gar nicht von mir gesprochen - versuch doch einfach mal, Deine Eltern zu was anderem als WA zu bewegen....oder oder... Fakt ist doch, daß viele schon 5 Jahre gebraucht haben, um mit WA richtig umgehen zu können und die sollen jetzt „schon wieder“ was Neues lernen? Wozu? Funktioniert doch, kostet “Nix“ (ich hab nix zu verbergen...) und bei dem anderen Dienst ist doch gar keiner - Du wirst auf Granit beißen!
Ich würde auch mehr als 2€ ausgeben, aber was nützt mir das am Ende? Die Masse interessieren Deine Beweggründe einen Sche**ß, sonst wären sie doch gar nicht bei WA! 😁

Sie nutzen es ja weil andere es nutzen. Wenn man die Menschen aber dazu aufklärt wieso Threema besser wäre als Whatsapp und man denen zeigt wie man damit umgeht denke ich dass man einige leute umstimmen könnte.

 

[Leap]

Braucht Threema eigentlich diese Google Messaging Pushservices?
Ich frag nur, weil ich am Handy ein Googlefreies Lineage habe.
Kaufen könnt ichs mir ja über die Playstore Webseite.
An die APK kommt man ja normalerweise so auch dran.
Hab mich bis jetzt erfolgreich gegen einen Messenger gewehrt.
Wird doch eh hauptsächlich nur viel Blödsinn rumgeschickt.
Das hat mich früher schon genervt wenn man dauernd "lustige" Mails bekommen hat....

Nein, braucht es nicht. Die Nachrichten lassen sich auch über selbst gewählte Intervalle abrufen. Außerdem kannst du dir die Threema APK direkt über den Threema-Shop kaufen. Ganz unabhängig vom Google- oder Apple-Store.

 

[Autokiller677]

Tatsächlich, aber dann müssten alle Appanbieter mit unter der Decke stecken (sonst würde es ja z.B. auffallen, wenn jemand mit einer vertrauenswürdigen App eine Verifizierung durchführen möchte ).
Schon weit unwahrscheinlicher

Zumindest fürs Hochladen der Private-Keys müssten da nicht alle mit dabei sein.
Und auch bei der Key-Injektion könnte man es auch mit nur einer kompromittierten Seite hinbekommen.

Server sendet SEINEN Public-Key an beide, kann also fleißig mitlesen. Und der Server bekommt vom unkompromitierten Gerät den Public-Key und kann daraus die Smileys generieren. Dann kann er dem kompromitierten Gerät einfach sagen, welche Smileys anzuzeigen sind - die haben dann zwar nix mit den benutzen Keys zu tun, der User glaubt es aber.

 

[DaRealDeal]

Schon fast vergessen, dass es Threema gibt. Selbst Signal konnte sich im Freundeskreis nicht etablieren. Ist zwar bei (fast) jedem installiert, nutzt nur keiner. Auch wenn der Preis für den Messenger nicht dafür sorgt, dass ein gewisser Peter Zwegat sein Flipchart in deinem Wohnzimer aufbaut, so ist es dennoch eine große Hürde für viele. Da kann der Messenger noch so gut sein.

 

[nr-Thunder]

Nach den Empfehlungen ist WA scheiße, ich brauche um mit allen Leuten hier aus dem Thread zu schreiben nur Signal+Matrix+Telegram+Threema, und für die Nichtwechsler Whatsapp, oder SMS und Telefon, schon kann ich wieder alle erreichen . Alles easy.

Datenschutz hat sich als Verkaufsargument leider nicht etabliert. Das einzige was Whatsapp gefährlich werden könnte, wäre wenn Messages und iMessage miteineinander kommunizieren könnten. Da sehe ich noch andere wie Zoom vorne, wenn aufgrund von häufigeren Videocalls die Ansprüche an einen Messaging-Dienst sich ändern. Was kann Snapchat? Lustige Filter, ist bei den Jüngeren im Bekanntenkreis Standard.

 

[modena.ch]

Einem eine bestimmte App aufzuzwingen, ist aber auch nicht die feine Art.

LoL, aber ich soll mir WA aufzwingen lassen, weil die Mähmasse zu doof ist nen ordentlichen
Messenger zu benutzen?
Ganz bestimmt nicht!

Wer mich privat erreichen will, kann Threema, Signal, SMS, E-Mail benutzen und
mich anrufen. Wenn das nicht reicht, muss ich sagen,
Pech!

Selbst in der Firma wir man fast schon genötigt WA zu installieren,
obwohl es im Konzern gar nicht erlaubt ist WA auf das Firmenhandy zu installieren!
Auch da, Teams, Threema, SMS, Email, Anruf oder Pech gehabt.

 

[teufelernie]

Ehrlich gesagt halte ich das weniger für konsequent als eher für vermessen und arrogant, alle Kontakte zu einem anderen Messenger zerren zu wollen nur weil man den selber bevorzugt, und dann zu erwarten, dass sie einem folgen unter Androhung von totaler Funkstille.

ok, den EINEN haben zu wollen passt tatsächlich nicht so ganz.
Und jo, in wenigen Fällen hat man auch per SMS/E–Mail Kontakt...


Allerdings muss man dazu sagen, dass Threema anders als z.B WhatsApp nicht gegen geltendes Recht verstößt.
Beispiel: Hochladen ALLER Telefonbuchkontakte ohne das Einverständnis des Inhabers ist rechtswidrig, allerdings Millionenfache Praxis.

Das geht garnicht!

Warum ist das so? Die Staaten greifen nicht ein, obwohl sie müssten...
Und Firmen wie Facebook machen so etwas einfach. Die kennen zB auch eine DSGVO sehr genau, ich sehe aber keine Umsetzung.
Auch war das Thema bereits vor der DSGVO bereits ein Problem...

 

[KitKat::new()]

Zumindest fürs Hochladen der Private-Keys müssten da nicht alle mit dabei sein.

Zumindest alle, welche den Build (sehr einfach mit reproducible Builds) aus der Quelle verifizieren.
Kann man sogar automatisieren.
Wenn der Quellcode auch noch kompromittiert ist, müssten zudem alle involviert sein, welche den Quellcode überprüfen, mitentwickeln, davon forken oder mal ab und zu committs lesen, was extrem unwahrscheinlich ist.
Bei iMessage ... tja was kannst du da machen?
Nichts

Das einzige was Whatsapp gefährlich werden könnte, wäre wenn Messages und iMessage miteineinander kommunizieren könnten.

Dank EU werden mit einem neuen Gesetz sich alle Messenger mit 45+ Millionen Nutzer öffnen (müssen). Dann kann jeder Messenger an diesen Messengern andocken
Digital Service Act: EU will Tech-Konzerne in die Schranken weisen - ComputerBase