Ein Leser schildert Folgendes:

### Beginn ###

Mir ist vergangene Woche aufgefallen, dass ich Push Notifications (mit Inhalt) auf mein Handy bekomme, obwohl die OAuth Session abgelaufen ist.

Nach ein wenig Basteln, konnte ich dann unter bestimmten Bedingungen

Task der Outlook App ist beendet
App besitzt die Berechtigung „im Hintergrund zu laufen“
NetGuard blockiert Outlook

folgendes Verhalten provozieren: Push Notifications für eingegangene Nachrichten werden angezeigt, aber in der App selbst ist die Nachricht nicht vorhanden.

Ein Blick in die Logdateien haben dann folgendes zu Tage befördert:

# adb logcat | grep "GmsGcmMscInput"

06-08 23:21:20.945 30253 30809 D GmsGcmMcsInput: Incoming message: DataMessageStanza{id=A0241AFD, from=445112211283, to=dNpfikjjQ_CMVLdEPlFLit, category=com.microsoft.offic
e.outlook, app_data=[AppData{key=HxMessage, value=\{„MailboxGuid“:“4356d7cd-739d-4055-bf5f-3e2462e129d2″\,“NewMailNotifications“:\[\{„From“:“< von mir gelöscht >„\,“ImmId“:\[0\,9\
,0\,46\,0\,0\,0\,0\,0\,29\,132\,3\,17\,170\,102\,17\,205\,155\,200\,0\,170\,0\,47\,196\,90\,13\,0\,16\,69\,81\,18\,235\,222\,61\,75\,185\,3\,51\,244\,119\,244\,52\,11\,0\,2
\,172\,249\,95\,238\,0\,0\]\,“LastDeliveryTime“:“2022-06-08T21:21:20Z“\,“MeetingResponseType“:4\,“Preview“:“Weit hinten\, hinter den Wortbergen\, fern der Länder Vokalien u
nd Konsonantien leben die Blindtexte. Abgeschieden wohnen Sie in Buchstabhausen an der Küste des Semantik\, eines großen Sprachozeans. Ein kleines Bächlein namens Duden fli
eßt durch ihren“\,“ReceivedOrRenewTime“:“2022-06-08T21:21:20Z“\,“Sender“:“< von mir gelöscht >„\,“Topic“:“Ich bin ein Test“\,“ViewId“:\{„ImmId“:\[0\,3\,36\,0\,52\,51\,53\,54\,100\
,55\,99\,100\,45\,55\,51\,57\,100\,45\,52\,48\,53\,53\,45\,98\,102\,53\,102\,45\,51\,101\,50\,52\,54\,50\,101\,49\,50\,57\,100\,50\,0\,46\,0\,0\,0\,0\,0\,93\,113\,117\,62\,
167\,29\,130\,78\,187\,150\,200\,36\,229\,106\,132\,235\,1\,0\,90\,179\,62\,54\,108\,91\,110\,71\,166\,65\,40\,123\,98\,132\,100\,161\,0\,0\,0\,192\,227\,187\,0\,0\]\,“Type
„:1\}\}\]\,“TenantGuid“:“< von mir gelöscht >„\}}, AppData{key=google.c.sender.id, value=445112211283}, AppData{key=type, value=OutlookPushNotification}], p
ersistent_id=0:1654723280941641%e9147688f9fd7ecd, last_stream_id_received=11, ttl=432000, sent=1654723280936}

Mein aktueller Stand ist, dass Einträge von GmsGcmMscInput via Firebase versendet werden. MicroG (via CalyxOS auf dem Fairphone 4) zeigt wohl im Gegensatz zu den PlayServices auch alles an, was da so versendet wurde. Das betrifft dann auch das Array app_data.

Ich gehe daher davon aus, dass ein Data Notification versendet wurde, anhand derer Outlook eine Preview generiert und erst dann Kontakt zu Exchange aufnimmt.

Hin und wieder fehlt der entsprechende Eintrag aber auch, dann sieht ein Eintrag wie folgt aus:

# adb logcat | grep "GmsGcmMscInput"

06-08 23:01:25.968 30253 30809 D GmsGcmMcsInput: Incoming message: DataMessageStanza{id=9F798901, from=445112211283, to=dNpfikjjQ_CMVLdEPlFLit, category=com.microsoft.office.outlook, app_data=[AppData{key=HxMessage, value=\{„MailboxGuid“:“4356d7cd-739d-4055-bf5f-3e2462e129d2″\,“NewMailNotifications“:\[\]\,“NotificationWatermark“:43\,“TenantGuid“:“a47f84e5-7042-4004-a0a9-8d4c9e85fcb2″\,“Watermark“:\{„Counter“:43\,“SessionId“:637902908397740137\}\}}, AppData{key=google.c.sender.id, value=445112211283}, AppData{key=type, value=OutlookPushNotification}], persistent_id=0:1654722086013333%e9147688f9fd7ecd, ttl=432000, sent=1654722086007}

Wie es zu den unterschiedlichen Notifications kommt, habe ich bisher nicht erklären können. Aber i.d.R. überwiegen bei mir die Notifications mit app_data.

Mit der IT meines Arbeitgebers habe ich bereits Kontakt aufgenommen. Aktuell scheint wohl auch eine Anfrage an den Datenschutzbeauftragten von Microsoft Deutschland vorzuliegen. Bisher unbeantwortet.

Meiner Einschätzung nach, ist das mindestens ein schlechtes Design der App i.V. zu Threema, Signal, Matrix und Co. die „leere“ Notifications versenden.

Eventuell liegt auch ein Verstoß gegen die DSGVO bzw. der Verträge zwischen Microsoft und O365-Tennants vor. Ehrlicherweise habe ich aber auch keine Ahnung, was so alles via FCM versendet werden darf. Ob Alphabet hier Daten analysiert/verarbeitet oder ob man das ganze „irgendwie mit entsprechenden Verträgen“ mit der DSGVO unter einen Hut bekommt. Dank Cloud Act und Co. ist es ja auch irgendwie egal, ob die Daten jetzt direkt von Microsoft oder via Alphabet abgegriffen werden.

### Ende ###

Bekanntlich befinde ich mich aktuell in Urlaub. Ich stufe den Sachverhalt allerdings als so bedenklich ein, dass ich die bisherige Analyse/Erkenntnisse des Lesers veröffentliche. Die Frage lautet nun:

Versendet die Outlook-App von Microsoft (unter bestimmten Bedingungen) tatsächlich E-Mail-Inhalte via Google Push Notifications? Das wäre aus meiner Sicht ein katastrophales App-Design und ein schwerer Verstoß gegen die DSGVO. Man muss sich das mal vorstellen: Google wäre dadurch in der Lage die Inhalte von (sensiblen) E-Mails mitzulesen.

Eventuell fühlt sich jemand berufen der Sache auf den Grund zu gehen. Ich bin erst wieder ab dem 23. Juni in der Lage das Szenario nachzustellen.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡