In eigener Sache: Bekanntmachung neuer Forenthemen im Fediverse

Zu Testzwecken habe ich ein weiteres Mastodon-Konto angelegt (@kuketzforum). Dieses Konto macht neue Forenthemen aus dem Kuketz-Forum im Fediverse bekannt. Es wird immer nur das neue Thema veröffentlicht. Beiträge oder Antworten nicht. Wer ein Thema interessant findet, kann dann direkt im Forum vorbeischauen und dort mitdiskutieren.

Das Setup ist zunächst ein Testballon, der bis zum 14. Januar fliegt. Danach werde ich prüfen, ob das Angebot Sinn macht und ob es weitergeführt wird.

Ihr könnt dem Forum übrigens auch per RSS folgen:

• Allen Themen/Beiträgen folgen: https://www.kuketz-forum.de/latest.rss
• Einer Kategorie folgen: Die URL der Kategorie „Datenschutz“ lautet bspw.:
  • https://www.kuketz-forum.de/c/datenschutz/6.
    Wenn du an die URL einfach .rss anhängst, kannst du dieser Kategorie mittels RSS folgen:
  • https://www.kuketz-forum.de/c/datenschutz/6.rss
• Einem Tag/Schlagwort folgen: Wenn du dem Tag/Schlagwort android folgen möchtest, dann lautet die URL wie folgt:
  • https://www.kuketz-forum.de/tag/android.
    Und nun wieder einfach .rss anhängen:
  • https://www.kuketz-forum.de/tag/android.rss

In eigener Sache: Bei Fragen bitte das Forum nutzen!

Liebe Leserinnen und Leser. Wenn ich etwas poste, kommen oft Fragen. Sei es direkt im Fediverse oder per E-Mail. Ich freue mich über das Interesse, gleichzeitig kann und werde ich nur einen Bruchteil der Fragen beantworten können. Es ist einfach eine Frage der Zeit.

Ich würde mich daher freuen, wenn ihr eure Fragen in Zukunft öfter über das Kuketz-Forum stellt. Dort gibt es kompetente Teilnehmer, die euch in den meisten Fällen weiterhelfen können.

Für diejenigen, die das Fediverse für eine geeignete Alternative zu einem Forum halten, habe ich folgende Gegenargumente:

• Für kurze Fragen ist das Fediverse sicherlich auch eine gute Anlaufstelle, aber für eine tiefer gehende Diskussion ist das Forum eindeutig die bessere Wahl – allein schon wegen der Übersichtlichkeit und der (möglichen) Länge der Beiträge.
• Auch Lemmy (Teil des Fediverse) ist meines Erachtens keine geeignete Alternative zu einem Forum. Bevor Lemmy eine Alternative sein kann, muss sich die Struktur und vor allem die Moderationswerkzeuge noch stark verbessern. Bis dahin bleibt es aus meiner Sicht eine Nische.
• Für die Forensoftware Discourse gibt es das ActivityPub Plugin. Dieses ist aber noch nicht einsatzbereit – höchstens für Beta-Tests. Es fehlen noch einige Funktionen und Reifegrade, bevor ich mir eine Anbindung des Forums an das Fediverse vorstellen kann.

In diesem Sinne: Wer über IT-Sicherheit und Datenschutz diskutieren möchte, ist derzeit in einem Forum am besten aufgehoben. Also vorbeikommen und mitdiskutieren.

Datenschutzverstöße bei der App Microsoft Copilot

Microsoft hat vor wenigen Tagen die Copilot-App für Android veröffentlicht. Ich habe in meinem Labor einen kurzen Blick darauf geworfen. Wie bei Microsoft üblich, stellt sich nicht die Frage, ob Datenschutzverstöße vorliegen, sondern in welchem Umfang. Bei Version 27.7.411216610 sieht es wie folgt aus. Unmittelbar nach dem Start (keine Nutzerinteraktion) werden die folgenden Gegenstellen (insgesamt 15 Domains) mit Daten beliefert bzw. etwas nachgeladen:

• oneclient.sfx.ms
• www.bing.com
• app.adjust.com
• edge.microsoft.com
• gateway.bingviz.microsoftapp.net
• superapp.msn.com
• firebaseinstallations.googleapis.com
• location.microsoft.com
• self.events.data.microsoft.com
• assets.msn.com
• api.msn.com
• sapphire.api.microsoftapp.net
• android.apis.google.com
• services.bingapis.com
• in.appcenter.ms

Dann erscheint zunächst der folgende (Consent-)Banner:

Nach einem (Consent-)Banner, der die Anforderungen an eine ausdrückliche, informierte, freiwillige und aktive Einwilligung erfüllt, sieht das für mich nicht aus.

Die nachfolgenden Datenübermittlungen erfolgen, bevor der Nutzer eine Interaktion durchgeführt hat. Dies ist häufig problematisch, da diese Daten/Informationen abgefragt bzw. übermittelt werden, bevor der Nutzer seine ausdrückliche, informierte, freiwillige und aktive Einwilligung gegeben hat. Nachfolgend greife ich mal vier Verbindungen raus.:

[1] Zunächst einmal zur Adjust GmbH (Hauptfirmensitz San Francisco, USA), einem Unternehmen, das sich auf das Tracking und die Analyse von Nutzern innerhalb von Apps spezialisiert hat [app.adjust.com]:

POST /session HTTP/1.1
Client-SDK: android4.30.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Dalvik/2.1.0 (Linux; U; Android 14; Pixel 6a Build/UQ1A.231205.015)
Host: app.adjust.com
Connection: close
Accept-Encoding: gzip, deflate, br
Content-Length: 861

gps_adid_attempt=1
api_level=34
event_buffering_enabled=0
hardware_name=UQ1A.231205.015
app_version=27.7.411216610
app_token=f1uo9a6ojr40
installed_at=2023-12-28T10:55:54.145Z+0100
created_at=2023-12-28T10:56:58.505Z+0100
device_type=phone
language=de
gps_adid=4b84b4a0-21c4-4dcd-8e81-c23f7c7a219b
connectivity_type=1
device_manufacturer=Google
display_width=1080
device_name=Pixel 6a
needs_response_details=1
os_build=UQ1A.231205.015
updated_at=2023-12-28T10:55:54.145Z+0100
cpu_type=arm64-v8a
screen_size=normal
screen_format=long
gps_adid_src=service
os_version=14
android_uuid=fbb8a1a9-b1ba-47cd-9a95-cccea1fdb3ef
environment=production&screen_density=high
attribution_deeplink=1
session_count=1
display_height=2205
package_name=com.microsoft.copilot
os_name=android
ui_mode=1
tracking_enabled=1
sent_at=2023-12-28T10:56:58.640Z+0100

Es werden UIDs/IDs (u.a. auch die Google-Advertising-ID (4b84b4a0-21c4-4dcd-8e81-c23f7c7a219b)) und diverse Gerätedaten (Modell, Hersteller, Auflösung, CPU) etc. vom Gerät abgefragt und ohne Einwilligung an Adjust übermittelt. Ich kann es nur gebetsmühlenartig wiederholen: Solche Zugriffe auf Endgeräte für Zwecke der Webanalyse, der Marktforschung und für jede Form der Werbung ohne informierte Einwilligung sind nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endgeräten und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Noch dazu handelt es sich bei der Google-Advertising-ID um ein personenbeziehbares Datum, weshalb ebenfalls die DSGVO anwendbar ist.

[2] Weiter geht es mit der Gegenstelle self.events.data.microsoft.com, die von Microsoft für den Empfang von Telemetriedaten genutzt wird. Die Daten liegen im Bond-Format vor. Bisher konnte ich diese nicht entcodieren – bin aber dran. Auch hier liegt ein Verstoß gegen § 25 Abs. 1 TTDSG vor.

[3] Die ungefähre Position bzw. Standort möchte Microsoft ebenfalls ermitteln. Dazu wird eine Anfrage an location.microsoft.com gesendet:

GET /locations/api/v1/me/approximatelocation HTTP/1.1
X-MS-Session-Id: 16BD1407A9C64D63832929398E996EE6
X-MS-Correlation-Id: 8f0f7aa2-4965-45e0-925d-77e0aaba38de
X-MS-MUID:
user-agent: Mozilla/5.0 (Linux; Android 14; Pixel 6a Build/UQ1A.231205.015; ) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Mobile Safari/537.36 CopilotSapphire/27.7.411216610
Host: location.microsoft.com
Connection: close
Accept-Encoding: gzip, deflate, br

Die Antwort sieht wie folgt aus:
{
   "location":{
      "latitude":48.804988861083984,
      "longitude":9.215459823608398,
      "accuracy":3122.12744140625
   }
}

Demnach befinde ich mich aktuell in Stuttgart, in der Lammgasse 4, beim Bestattungsdienst Rentschler. Oha.

[4] Bei Microsoft werden Telemetrie- oder Ereignisdaten nie nur an eine Adresse gesendet, sondern meist an mehrere Gegenstellen. So auch an gateway.bingviz.microsoftapp.net:

POST /receive?app=sapphire&bucket=75 HTTP/2
Host: gateway.bingviz.microsoftapp.net
Accept: application/json
Content-Type: application/json
User-Agent: Dalvik/2.1.0 (Linux; U; Android 14; Pixel 6a Build/UQ1A.231205.015)
Connection: Keep-Alive
Accept-Encoding: gzip, deflate, br
Content-Length: 2571

{
   "dvid":"0D3A2B2E516A442EBE564CE49AC49A39",
   "events":[
      {
         "id":28,
         "sid":"16BD1407A9C64D63832929398E996EE6",
         "name":"PermissionStatus",
         "type":"Diagnostic",
         "ts":1703757418945,
         "data":{
            "Camera":"false",
            "Location":"false",
            "Microphone":"false",
            "ReadStorage":"false",
            "Storage":"false","SMS":"false",
            "Notification":"false"
         }
   [...]    
   "meta":{
      "appPackage":"com.microsoft.copilot",
      "clientVersion":"27.7.411216610",
      "build":"Google_Production",
      "market":"de-DE",
      "inPrivate":"false",
      "applicationId":"F185A93DE6764B098D55089F610A3FB8",
      "installId":"DC89A46B3AAD4213934D00B68F3E9283",
      "advertisingId":"4B84B4A021C44DCD8E81C23F7C7A219B",
      "os":"Android",
      "osVersion":"14",
      "userAgent":"Mozilla\/5.0 (Linux; Android 14; Pixel 6a Build\/UQ1A.231205.015; ) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/114.0.0.0 Mobile Safari\/537.36 CopilotSapphire\/27.7.411216610",
      "timezone":"120",
      "deviceModel":"Google Pixel 6a",
      "locale":"de-DE",
      "deviceType":"Phone",
      "clientBucket":"75",
      "installSource":"Unknown",
      "launchSource":"AppIcon",
      "extSchema":{
         "app":{
            "installNetwork":"",
            "installCampaign":"",
            "installAdgroup":"",
            "installCreative":"",
            "utmSource":"",
            "utmMedium":"",
            "asId":1,
            "sessionsFromUpgrade":1,
            "resumeSource":"AppIcon",
            "darkThemeOn":true,
            "themeName":"DefaultDark",
            "detectedMarket":"",
            "displayLanguage":"de",
            "speechLanguage":"de-DE",
            "tags":"exp_notification_fre=no_notification_fre;"
         },
         "client":{
            "width":1080,
            "height":2205,
            "density":2.625,
            "screenMode":1
         },
         "device":{
            "cpuModel":"",
            "cpuCores":8,
            "cpuMHz":2802,
            "ramTotalSize":5603
         },
         "user":{
            "userSignedIn":false,
            "aadState":-1
         },
         "account":{
            "isAADActive":false,
            "isAADSignedIn":false,
            "isMSAActive":false,
            "isMSASignedIn":false
         },
         "ext.req.requestId":5
      },
      "first-install":1703757354145
   },
   "schemaVersion":"3.0"
}

Auch hier fällt auf, dass ohne ausdrückliche, informierte, freiwillige und aktive Einwilligung die Google Advertising-ID (4b84b4a0-21c4-4dcd-8e81-c23f7c7a219b) vom Gerät ausgelesen und an Microsoft übermittelt wird. Bei der Google-Advertising-ID handelt es sich um ein personenbeziehbares Datum – also ein Verstoß gegen die DSGVO. Und auch hier liegt ebenfalls ein Verstoß gegen § 25 Abs. 1 TTDS vor.

Fazit

Microsoft kennt die Vorgehensweise: Erst gegen Gesetze verstoßen und dann abwarten, was passiert. Wie bereits erläutert, werden gleich mehrere Datenschutzverletzungen begangen, sobald der Nutzer die App lediglich startet. Abgesehen von den Datentransfers kann man auch feststellen, dass eine ausdrückliche, informierte, freiwillige und aktive Einwilligung meiner Meinung nach anders aussehen sollte.

Knobelaufgabe für Nerds: Deserialize Bond-Format der Outlook-App (Android)

Die Outlook-App (Version 4.2347.4) von Microsoft sendet unmittelbar nach dem Start Telemetriedaten an die Gegenstelle »mobile.events.data.microsoft.com«. Die Aufzeichnung/Mitschnitt liegt im Bond-Format (Content-Type: application/bond-compact-binary) vor. Ich habe gestern versucht, die Daten zu deserialisieren, was mir aber vorerst nicht gelungen ist. Vor dem neuen Jahr werde ich auch nicht mehr dazu kommen, also habe ich mir gedacht: Vielleicht schafft es ja jemand aus der Community. Ich stelle den HTTP-Request bzw. die Übertragung einmal als curl-Request und einmal im XML-Format zur Verfügung.

Die Übermittlung von Telemetriedaten ist von § 25 TTDSG Abs. 2 (2) nicht gedeckt. Eine »zwingende/unbedingte Erforderlichkeit« ist bei einem Tracking-Dienst/Nutzungsmessung nicht gegeben. Für die technische Funktionserbringung bzw. die Nutzung der App sind diese (aus Sicht des Nutzers) schlichtweg nicht erforderlich. Damit liegt meines Erachtens ein Verstoß gegen § 25 TTDSG vor. Nun wäre es eben schön zu wissen, welche Telemetriedaten genau an Microsoft übermittelt werden.

Signal/Threema: Klare Kommunikation zur Push-Problematik wünschenswert

Das Thema »Behörden fragen Apple und Google nach Nutzern von Messenger-Apps« hat mich nicht losgelassen. Nachdem ich kurz erklärt hatte, wie man das Problem umgehen kann, dachte ich, es sei erledigt. Aber als Meredith Whittaker, die Geschäftsführerin von Signal, das Thema in einem Post auf Mastodon wieder aufgriff, habe ich mich erneut damit beschäftigt.

Zunächst fiel mir auf, dass das eigentliche Problem, nämlich die Verknüpfung einer Push-ID mit einem Benutzerkonto, nicht angesprochen wurde. Auch auf meine explizite Frage reagierte Whittaker eher ausweichend und verwies stattdessen auf bereits beantwortete Anfragen von Strafverfolgungsbehörden:

These are the law enforcement requests we’ve been forced to reply to, including our responses. https://signal.org/bigbrother/

Die entscheidenden Fragen bleiben jedoch unbeantwortet:

• Kann Signal eine Google/Apple-Push-ID mit einem Signal-Konto verknüpfen? Wenn nein, wie wird dies technisch verhindert bzw. umgesetzt?
• Wie oft hat Signal bereits Push-IDs an Behörden vergeben? Wenn ja, um welche Informationen handelt es sich dabei genau?

In diesem Fall ist der Verweis auf die veröffentlichten Anfragen der Strafverfolgungsbehörden wenig aufschlussreich. Obwohl aus den Antworten von Signal hervorgeht, dass nur Informationen wie

• Last connection date
• Account created

weitergegeben wurden, bedeutet dies nicht zwangsläufig, dass die Push-ID nicht in anderen Anfragen herausgegeben wurde bzw. wird. Leider habe ich diesbezüglich von Signal bzw. Meredith Whittaker keine weitere Auskunft erhalten.

Ich habe meine Fragen auch an Threema gestellt, aber bisher ebenfalls keine Antwort erhalten. Immerhin gibt Threema in seinem Transparenzbericht an, dass auch das Push-Token (Push-ID) herausgegeben wird. Dies ist immer dann der Fall, wenn die Benachrichtigung über den Push-Dienst von Google oder Apple erfolgt. Damit ist die Verknüpfung eines Threema-Accounts mit einer Push-ID möglich. Bei Signal dürfte dies nicht anders sein.

Und hier setzt meine Kritik an. Zweifellos minimieren beide Messenger im Vergleich zu weitverbreiteten, massentauglichen Messengern Metadaten recht effektiv. Dennoch halte ich aus meiner Sicht mehr Transparenz für wünschenswert, zumal die Zielgruppe beider Messenger sicherheits- und datenschutzorientierte Nutzer umfasst. Es wäre wünschenswert, klarer zu kommunizieren, dass eine technische Verbindung zwischen der Push-ID und dem Benutzerkonto besteht. Ebenso wäre es wichtig, zu erfahren, wie oft diese Information bereits von Strafverfolgungsbehörden angefordert wurde. Trotz meiner Bedenken beabsichtige ich, beide Messenger weiter zu empfehlen. Allerdings halte ich die Kommunikation bezüglich der Problematik des Push-Dienstes für verbesserungswürdig, da Fragen dazu entweder gar nicht oder nur ausweichend beantwortet werden.

Mir ist bewusst, dass die Mehrheit der Nutzer wahrscheinlich nicht von diesem Problem betroffen sein wird. Aber für diejenigen, die aus welchem Grund auch immer ins Visier der Strafverfolgungsbehörden geraten, ist es wichtig zu wissen: Durch die Verknüpfung der (Google-/Apple-)Push-ID mit einem Messenger-Account besteht eine erhebliche Wahrscheinlichkeit, dass ein direkter Personenbezug hergestellt werden kann. Dies erfolgt nicht direkt durch Threema und Signal, sondern indem die herausgegebene Push-ID an die Strafverfolgungsbehörden weitergegeben wird. Diese können dann mit der Push-ID bei Google/Apple wesentlich umfassendere Informationen über eine Person erhalten.

Aus meiner Sicht sollten sich beide Messenger ehrlich machen und sagen:

Nein, wir haben keine Daten, mit denen wir euch eindeutig identifizieren können. Es kann aber sein, dass wir bestimmte Informationen weitergeben müssen, die dies ermöglichen.

Und wenn dieser Offenbarungseid geleistet ist, haben beide Anbieter die Möglichkeit, auf Alternativen zur Umgehung des Problems hinzuweisen – allerdings nur unter Android:

• Signal: Ein flexibler Wechsel zwischen Google-Push (FCM) und der WebSocket-Variante ist derzeit nicht möglich. Um auf WebSockets umzusteigen und den Umweg über die Google Push-Server zu vermeiden, muss ein Smartphone ohne Google Play-Dienste verwendet werden. Es gibt auch einen Workaround, den ich allerdings nicht getestet habe: Forcing web-socket notifications for Signal on Android.
• Threema: Threema per Polling nutzen oder auf den alternativen Threema Push-Dienst zurückgreifen. Im Gegensatz zu Signal gibt es also auch für Geräte, die die Google Play-Dienste nutzen, eine einfache Möglichkeit, auf Google Push zu verzichten. Das hat Threema eindeutig besser gelöst.

Insbesondere Messenger, die sich an sicherheits- und datenschutzorientierte Nutzer richten, sollten die Problematik der Push-Dienste von Google und Apple klar kommunizieren. Von WhatsApp und Co. erwarte ich dies nicht, sehr wohl aber von Signal und Threema.