Berichte über andere Messenger

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Das Entscheidende in der Meldung ist dieser Satz:

    Da beide Apps vom selben Hersteller stammen, können die beiden Anwendungen Daten untereinander austauschen [...].


    Apps dürfen normalerweise nicht auf die Daten anderer Apps zugreifen. Eine Besonderheit stellen Apps dar, die vom selben Herausgeber signiert wurden. Zwischen solchen Apps wird der Datenaustausch ermöglicht.

    Also so, als ob Threemas QR-Code Scanner unter Android die Chats der Threema Messenger App abfischt.

  • Wenn zwei Apps mit demselben Key signiert sind, können sie mit derselben UserID laufen und Daten transparent austauschen. Der eigentliche Sinn davon war mal, Funktionalität nicht doppelt vorhalten zu müssen. Wie einfach das plötzlich geht, kann man z.B. hier nachlesen.

    Normalerweise ist der Zugriff auf die Ordner/Datenbank einer fremden App nicht möglich, es sei denn, der Anwender gibt den Zugriff frei.

    Der Link ist nicht relevant weil der ursprüngliche Bericht iOS behandelt, es im Link aber um Android geht.

    Natürlich können die Apps jetzt Dateien austauschen. Aber wo ist da der Unterschied zu vorher? Es ist ja nicht so wie wenn WhatsApp keinen Zugriff auf die Daten hätte.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.


  • Also so, als ob Threemas QR-Code Scanner unter Android die Chats der Threema Messenger App abfischt.

    So ungefähr.
    In diesem Fall wäre es offensichtlich, weil beide Apps vom selben Hersteller kommen. Und deshalb prüft man auch, ob das QR-Code-Plugin die Internet-Berechtigung hat (hat es nicht).


    Natürlich können die Apps jetzt Dateien austauschen. Aber wo ist da der Unterschied zu vorher? Es ist ja nicht so wie wenn WhatsApp keinen Zugriff auf die Daten hätte.

    Wenn man die Sicherheit einer App beurteilt, dann neigt man wegen des Sandbox-Prinzips dazu, sich nur auf die App selbst zu konzentrieren. In einem solchen Fall ist das aber nicht ausreichend. Der App-Kontext wird durch die zweite App, die mit der gleichen UserID läuft, erweitert.

    Zitat


    Der Link ist nicht relevant weil der ursprüngliche Bericht iOS behandelt, es im Link aber um Android geht.

    Ich entwickle nur auf Android. Dort besteht das gleiche Problem. Ob sich die Apps auch auf Android eine UserID teilen, weiß ich nicht - ich kann es aber auch nicht ausschließen.
    Für weitere Informationen empfehle ich den Blog-Artikel von Gregorio Zanon - und die Kommentare dazu.

    Einmal editiert, zuletzt von Chris (3. Mai 2018 um 09:36)

  • So wie ich den Blogpost verstanden habe, müssten die Datenbanken aber in einem bestimmten Ordner gespeichert werden und das sind sie im moment nicht (https://developer.apple.com/documentation/…43-containerurl).

    Der Artikel endet dann ja auch mit der Aussage dass Leute die Verträge nicht lesen und Leute deren Beruf es ist Sicherheitslücken zu suchen, mit einer ähnlichen Sorgfalt arbeiten.

    Zitat


    Facebook is under such scrutiny that if it were to do something as extreme as collecting WhatsApp chats, it would be quickly caught by security researchers.

    But would it really? Everyone missed the fact that they were collecting SMS data from Android users for over a year. And in order to research how iOS apps handle user data, one needs a jailbroken device — what happens if no jailbreak is available anymore? Do we just trust Facebook and stop looking?

    Das stimmt natürlich nicht. Dass Facebook die Metadaten der Anrufe und SMS aufzeichnet und speichert war allgemein bekannt und wurde von Facebook auch so kommuniziert.
    Es steht jedem frei Verträge einzugehen ohne diese zu lesen und es steht jedem frei sich nachher darüber zu beklagen, dass die Welt doch unfair sei. Aber es heisst nicht dass sie es auch ist.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

    Einmal editiert, zuletzt von schuschu (3. Mai 2018 um 13:12)


  • So wie ich den Blogpost verstanden habe, müssten die Datenbanken aber in einem bestimmten Ordner gespeichert werden und das sind sie im moment nicht (https://developer.apple.com/documentation/…43-containerurl).

    In dem Artikel steht das Gegenteil:

    Zitat


    At some point after acquiring WhatsApp, Facebook registered it as part of the same App Group as the Facebook Messenger and Facebook apps. We’re not sure when exactly they did this, but most probably around August 2016 after the data share announcement. More importantly, Facebook and WhatsApp now had a privileged way to share information across traditional sandboxing boundaries, via a shared container named group.com.facebook.family.

    https://www.teltarif.de/whatsapp-werbu…news/72504.html

    Einmal editiert, zuletzt von Chris (9. Mai 2018 um 07:35)

  • Steht da nicht eben dass die Dateien über den 'shared container' mit Namen 'group.com.facebook.family' geteilt werden müssen? Nur weil dieser Ordner existiert heisst es nicht dass dort auch Dateien oder ganze Datenbanken gespeichert werden.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

    Einmal editiert, zuletzt von schuschu (3. Mai 2018 um 17:00)

  • So wie ich die Dokumentation von Apple verstehe gilt das aber nur für den shared container und nicht für alle Ordner im Container von WhatsApp.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Neue Sicherheitslücke in Signal:

    https://www.heise.de/mac-and-i/meld…or-4046107.html

    Die Funktion der selbstzerstörenden Nachrichten lässt sich übrigens auch unter Android ganz einfach umgehen.

    Im Google Launcher lange auf den Hintergrund tippen > Widgets > Einstellungen - Einstellungsverknüpfung
    Danach hat man auf dem Launcher ein Icon "Benachrichtigungsprotokoll". Dort finden sich dann auch die gelöschten Nachrichten wieder.

    Deshalb die Nachrichtenvorschau immer ausschalten, denn irgendwo auf dem Handy werden die Benachrichtigungen offenbar unverschlüsselt geloggt.


  • Ja, irgendwie ist das blöd.
    Wie das wohl bei LineAgeOS geregelt ist?

    Das wird dort wohl genau gleich sein.
    [hr]
    WhatsApp speichert ja weitaus weniger Daten als gedacht: https://threema-forum.de/thread-3861-po…1.html#pid38101
    [hr]
    Das russische Internet steht kopf, seitdem Moskau versucht, den Kurznachrichtendienst Telegram zu blockieren. Wer ist Telegram-Gründer Pawel Durow, der als «russischer Zuckerberg» gilt? https://www.republik.ch/2018/05/11/rus…ind-nummer-eins

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

    Einmal editiert, zuletzt von schuschu (11. Mai 2018 um 12:45)

  • Interessanter Bericht über Pawel Durow. In der Krypto-Szene gilt Telegram aber als nicht so toll, wie es oftmals in den Medien dargestellt wird.

    Bei Threema habe ich das Gefühl, dass sie sich etwas zu sehr auf Business-Kunden konzentrieren und die eigentliche App vernachlässigt wird. Gibt es einen Plan, wie man auf aggressive Zensur antworten würde? Was ist mit Perfect Forward Secrecy? Security-Audit für Threema Web? Selbstzerstörende Nachrichten gibt es auch nicht.

    Von mir aus dürfte sich Threema wieder etwas radikaler auf die ursprünglichen Ziele konzentrieren: Sicherheit ohne Kompromisse, so gut es geht.

    Einmal editiert, zuletzt von Crixus (11. Mai 2018 um 14:14)

  • Das hat überhaupt nichts mit Show zu tun und erhöht die Sicherheit ganz gewaltig. Es geht nicht darum, dass es umgangen werden kann - es geht darum, dass es uns Menschen unterstützt. Unterstützt darin, dass wir bestimmte Nachrichten nicht mehr manuell löschen müssen (was man ja auch schnell vergisst). Oder dass man seinen Gesprächspartner implizit darauf aufmerksam macht, dass man das nicht in der Historie gespeichert haben möchte. Und er sich dann um überhaupt nichts kümmern muss, weil Threema diesem Wunsch automatisch nachgeht.

    Aber dazu gibts ja schon nen Thread.


  • Oder dass man seinen Gesprächspartner implizit darauf aufmerksam macht, dass man das nicht in der Historie gespeichert haben möchte. Und er sich dann um überhaupt nichts kümmern muss, weil Threema diesem Wunsch automatisch nachgeht.

    So bräuchte bei mir keiner kommen. Wenn jemand nicht will das seine Nachrichten in meinem Verlauf sind dann soll er gefälligst mit anderen kommunizieren.
    Meinen Verlauf lösche ich so wie mir das passt und nicht anderen.

    Einmal editiert, zuletzt von General (12. Mai 2018 um 08:55)

  • Es geht doch nicht darum, dass man wahllos irgendwelche Nachrichten aus dem Verlauf löschen kann, sondern dass man für bestimmte, gezielte Nachrichten einen Selbstzerstörungstimer angibt (z. B. 1h). Aus meiner Sicht würde das nur einen Bruchteil der Nachrichten betreffen.

    Beispiel: Ich schicke dir das Passwort für Sky Go. Mir wäre es lieber, wenn dieses Passwort nicht für alle Ewigkeiten im Verlauf stehen würde, auch wenn ich die Möglichkeit habe, das Passwort zu ändern. Was hättest du denn da dagegen? Das hat doch nichts damit zu tun, dass ich nicht will, dass meine Nachrichten in deinem Verlauf stehen - ich will ja auch nicht dass das Passwort dann in MEINEM Verlauf steht. Ich möchte einfach nur ein 4-Augen-Gespräch simulieren, das nicht aufgezeichnet wird, zumindest für den kritischen Teil der Kommunikation (d. h. sensible Informationen/Bilder).

    Stell dir vor ich würde in meiner Tasche ständig ein Audio-Aufnahmegerät mitschleppen, wenn ich mich mit dir privat unterhalte. Wenn du dann sagen würdest, dass dir das unangenehm ist, käme ich nicht au fdie Idee zu sagen "Dann soll er gefälligst mit anderen kommunizieren". Das ist jetzt evtl. ein überspitztes Beispiel, aber prinzipiell geht es um das gleiche.

  • Zitat von "Crixus" pid='38126' dateline='1526110201'


    Ich möchte einfach nur ein 4-Augen-Gespräch simulieren, das nicht aufgezeichnet wird, zumindest für den kritischen Teil der Kommunikation (d. h. sensible Informationen/Bilder).


    ...Genau meine Ansicht! [emoji3]

    Zitat


    Stell dir vor ich würde in meiner Tasche ständig ein Audio-Aufnahmegerät mitschleppen, wenn ich mich mit dir privat unterhalte. Wenn du dann sagen würdest, dass dir das unangenehm ist, käme ich nicht au fdie Idee zu sagen "Dann soll er gefälligst mit anderen kommunizieren". Das ist jetzt evtl. ein überspitztes Beispiel, aber prinzipiell geht es um das gleiche.


    Sehe ich auch so. Selbst wenn der Vergleich ein wenig hinken sollte, trifft er die Situation recht gut: Kommunikation ohne dass dabei ständig Protokoll geführt wird.

    Andy

    Einmal editiert, zuletzt von andyg (12. Mai 2018 um 09:59)

  • Das Beispiel mit den Zugangsdaten mag bei dir zutreffen.
    Ich würde aber nicht mal im Traum auf die Idee kommen irgendwelche Zugangsdaten etc pp an irgendwelche Leute, Verwandte etc zu schicken.

    Wie geschrieben, wer nicht will das irgendwas in meinem Verlauf ist soll mit anderen Kommunizieren.

    Einmal editiert, zuletzt von General (12. Mai 2018 um 10:02)


  • Interessanter Bericht über Pawel Durow. In der Krypto-Szene gilt Telegram aber als nicht so toll, wie es oftmals in den Medien dargestellt wird.

    Da ist halt auch unklar, wie viele von diesen Meldungen von den Amerikanern, die gerne die Vorherrschaft mit Facebook und WhatsApp behalten würden, kommen.
    [hr]

    Bitte keine selbstzerstörende Nachrichten. Das ist reine Show und bietet keine Sicherheit.
    Wie nutzlos das ist und wie leicht es umgangen werden kann, sieht man weiter oben.

    Es geht dabei aber auch nicht unbedingt um Sicherheit sondern um Komfort. Es ist nicht sicherheitsrelevant ob meine Freunde meine Grimassenselfies speichern. Aber mit dem Timer signalisiere ich dass ich nicht unbedingt möchte, dass sie gespeichert werden und das respektieren auch die meisten.
    [hr]


    Wie geschrieben, wer nicht will das irgendwas in meinem Verlauf ist soll mit anderen Kommunizieren.

    Aber dann kannst du ja auch einfach nicht mit Leuten kommunizieren die die Timer für die Nachrichten eingeschaltet haben. Löst das Problem ja auch und hat den Vorteil dass du anderen nicht deine Meinung aufzwingen musst, sondern für dich entscheiden kannst.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

    Einmal editiert, zuletzt von schuschu (12. Mai 2018 um 20:46)