16. Juli 2019 | 07:13 Uhr

Fedilab: Datenschutzfreundliche Fediverse-App

Im Rahmen der App-Review-Week prüfe ich am zweiten Tag die Android-App Fedilab (Version 2.9.1) – eine App für das Fediverse (Mastodon, Pleroma, Peertube, GNU Social, Friendica). Beginnen wir mit den Netzwerkverbindungen, die Fedilab während der Nutzung aufbaut.

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

Funkstille – die App übermittelt nichts, bevor der Nutzer eine Eingabe tätigt.

Registrierung: Anmeldung an eine Fediverse-Instanz

[1] Bei der Instanz-Auswahl wird der Suchstring (als GET-Request) an den Server »instances.social« übermittelt. Eine Art Telefonbuchsuche, damit die Instanz dann per Fingertipp ausgewählt werden kann:

GET /api/1.0/instances/search?q=social.tchncs.de&count=1000&name=true HTTP/1.1
http.keepAlive: false
User-Agent: Fedilab/2.9.1 Android/9
Content-Type: application/json
Accept: application/json
Authorization: Bearer jGj9gW3z3ptyIpB8CMGhAlTlslcemMV6AgoiImfw3vPP98birAJTHOWiu5ZDfCkLvcaLsFZw2e3Pb7TIwkbIyrj3z6S7r2oE6uy6EFHvls3YtapP8QKNZ980p9RfzTb4
Host: instances.social
Connection: close
Accept-Encoding: gzip, deflate

[2] Nach Auswahl der Instanz erfolgt via OAuth die Autorisierung für die Fedilab-App. Das ist notwendig, damit die App auf die Inhalte des Mastodon-Kontos zugreifen kann. Für den Paketmitschnitt war es notwendig, Certificate-Pinning zu umgehen:

GET /oauth/authorize?client_id=S8ujYYcu4oJKyF9ShEJRkl_O5vl30YL2PJUnye2jPY0&redirect_uri=mastalab%3A%2F%2Fbacktomastalab&response_type=code&scope=read%20write%20follow HTTP/1.1
Host: social.tchncs.de
Connection: close
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 9; Mi A1 Build/PQ3A.190705.003; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/75.0.3770.101 Mobile Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
X-Requested-With: fr.gouv.etalab.mastodon

[3] Sobald die Autorisierung erfolgt ist, authentifiziert sich die Fedilab-App in mehreren Schritten bzw. Paketen gegenüber der Mastodon-Instanz:

GET /auth/sign_in HTTP/1.1
Host: social.tchncs.de
Connection: close
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 9; Mi A1 Build/PQ3A.190705.003; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/75.0.3770.101 Mobile Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: _mastodon_session=234DSoUTb4FPvp4lqBvzyFKFeh%2B5Mx0aI0%2BWmQMsK8UvwdzQTcVlJhu4wu0auZvFbgbmE2Krtk2AAUSDXZbLi%2B05rEEP7YD%2BnTEMx2TO7PtrxL4MPzwBG0QXEW%2BcGf9JFPhtpEKG%2BSxzYo%2B4hCtIzqoRpkcstPp27PxBBJrOeehL1x%2Fkikiw8aKNSNAhdYvNOunvHykFmmssh31aIfL2scqXNtKcYV9aqK1PHlFe2wmhQXllKZcL6UOwp5ciKtPX7GzUP%2Fmk8bOVBAQcmTviWHwGY%2BLyFZqLSM4qo2sIVMxSfALQQqG78sh8rhmJgDUv0PIDSgvT--pRoZphshXssyzsDU--LCNs%2FPNZdBclUkZQIp9s0g%3D%3D
X-Requested-With: fr.gouv.etalab.mastodon

utf8=%E2%9C%93&authenticity_token=LKmh2YoKR4Upwb6S3fG3467Y1%2BjQRu4WJ4PMP4UycDNj36OBPlwdEcZ%2BpMaHLGCU4sZkHdznGOWDrGJn8Z62RA%3D%3D&user%5Bemail%5D=myemail%40kuketz.de&user%5Bpassword%5D=secretpassword&button=

Nutzung der App

Während der App-Nutzung besteht reger Kontakt mit der Mastodon-Instanz. Es werden Grafiken, CSS-Dateien, Emojis, die Timeline, Konversationen etc. ausgetauscht. Die Kommunikation beschränkt sich ausschließlich auf die gewählte Mastodon-Instanz – es wird praktisch nichts nebenher übermittelt oder von irgendwelchen Drittquellen nachgeladen. Das ist äußerst vorbildlich.

Kurzcheck der Datenschutzerklärung

Die Datenschutzerklärung ist knapp und übersichtlich. Sie deckt sich mit den Ergebnissen des App-Mitschnitts und erklärt darüber hinaus, wofür die Fedilab-App die angeforderten Berechtigungen benötigt. Noch ein Zitat zum Thema Tracking: