Fedilab: Datenschutzfreundliche Fediverse-App
Im Rahmen der App-Review-Week prüfe ich am zweiten Tag die Android-App Fedilab (Version 2.9.1) – eine App für das Fediverse (Mastodon, Pleroma, Peertube, GNU Social, Friendica). Beginnen wir mit den Netzwerkverbindungen, die Fedilab während der Nutzung aufbaut.
App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)
Funkstille – die App übermittelt nichts, bevor der Nutzer eine Eingabe tätigt.
Registrierung: Anmeldung an eine Fediverse-Instanz
[1] Bei der Instanz-Auswahl wird der Suchstring (als GET-Request) an den Server »instances.social« übermittelt. Eine Art Telefonbuchsuche, damit die Instanz dann per Fingertipp ausgewählt werden kann:
GET /api/1.0/instances/search?q=social.tchncs.de&count=1000&name=true HTTP/1.1 http.keepAlive: false User-Agent: Fedilab/2.9.1 Android/9 Content-Type: application/json Accept: application/json Authorization: Bearer jGj9gW3z3ptyIpB8CMGhAlTlslcemMV6AgoiImfw3vPP98birAJTHOWiu5ZDfCkLvcaLsFZw2e3Pb7TIwkbIyrj3z6S7r2oE6uy6EFHvls3YtapP8QKNZ980p9RfzTb4 Host: instances.social Connection: close Accept-Encoding: gzip, deflate
[2] Nach Auswahl der Instanz erfolgt via OAuth die Autorisierung für die Fedilab-App. Das ist notwendig, damit die App auf die Inhalte des Mastodon-Kontos zugreifen kann. Für den Paketmitschnitt war es notwendig, Certificate-Pinning zu umgehen:
GET /oauth/authorize?client_id=S8ujYYcu4oJKyF9ShEJRkl_O5vl30YL2PJUnye2jPY0&redirect_uri=mastalab%3A%2F%2Fbacktomastalab&response_type=code&scope=read%20write%20follow HTTP/1.1 Host: social.tchncs.de Connection: close Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Linux; Android 9; Mi A1 Build/PQ3A.190705.003; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/75.0.3770.101 Mobile Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7 X-Requested-With: fr.gouv.etalab.mastodon
[3] Sobald die Autorisierung erfolgt ist, authentifiziert sich die Fedilab-App in mehreren Schritten bzw. Paketen gegenüber der Mastodon-Instanz:
GET /auth/sign_in HTTP/1.1 Host: social.tchncs.de Connection: close Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Linux; Android 9; Mi A1 Build/PQ3A.190705.003; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/75.0.3770.101 Mobile Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7 Cookie: _mastodon_session=234DSoUTb4FPvp4lqBvzyFKFeh%2B5Mx0aI0%2BWmQMsK8UvwdzQTcVlJhu4wu0auZvFbgbmE2Krtk2AAUSDXZbLi%2B05rEEP7YD%2BnTEMx2TO7PtrxL4MPzwBG0QXEW%2BcGf9JFPhtpEKG%2BSxzYo%2B4hCtIzqoRpkcstPp27PxBBJrOeehL1x%2Fkikiw8aKNSNAhdYvNOunvHykFmmssh31aIfL2scqXNtKcYV9aqK1PHlFe2wmhQXllKZcL6UOwp5ciKtPX7GzUP%2Fmk8bOVBAQcmTviWHwGY%2BLyFZqLSM4qo2sIVMxSfALQQqG78sh8rhmJgDUv0PIDSgvT--pRoZphshXssyzsDU--LCNs%2FPNZdBclUkZQIp9s0g%3D%3D X-Requested-With: fr.gouv.etalab.mastodon utf8=%E2%9C%93&authenticity_token=LKmh2YoKR4Upwb6S3fG3467Y1%2BjQRu4WJ4PMP4UycDNj36OBPlwdEcZ%2BpMaHLGCU4sZkHdznGOWDrGJn8Z62RA%3D%3D&user%5Bemail%5D=myemail%40kuketz.de&user%5Bpassword%5D=secretpassword&button=
Nutzung der App
Während der App-Nutzung besteht reger Kontakt mit der Mastodon-Instanz. Es werden Grafiken, CSS-Dateien, Emojis, die Timeline, Konversationen etc. ausgetauscht. Die Kommunikation beschränkt sich ausschließlich auf die gewählte Mastodon-Instanz – es wird praktisch nichts nebenher übermittelt oder von irgendwelchen Drittquellen nachgeladen. Das ist äußerst vorbildlich.
Kurzcheck der Datenschutzerklärung
Die Datenschutzerklärung ist knapp und übersichtlich. Sie deckt sich mit den Ergebnissen des App-Mitschnitts und erklärt darüber hinaus, wofür die Fedilab-App die angeforderten Berechtigungen benötigt. Noch ein Zitat zum Thema Tracking:
The application does not use any tracking tools and does not run advertising.
So wünscht man sich das.
Fazit
Datenschutzfreundlicher kann eine App nicht sein. Absolut vorbildlich und empfehlenswert für alle Fediverse-Nutzer.