Privacy-Handbuch

• Es gibt viele Samrtphone Apps, bei denen man erwartet, dass man zeitnah über Neuigkeiten von einem Server informiert wird. E-Mail Clients und Messenger sollen neu eingetroffenen Nachrichten anzeigen, Banking Apps sollen über Finanztransaktionen informieren usw.

• Gleichzeitig soll der Energieverbrauch der Apps und das Datenvolumen minimiert werden.

Push Services wurden von Google und Apple entwickelt, um beide Anforderungen zu erfüllen:

1. Eine Smartphone App, die von einem Server über Neuigkeiten benachrichtig werden möchte, fordert von den Push Services APN (Apple) oder FCM (Google) ein Push Token an.
2. Dann registriert die Smartphone App dieses Push Token bei dem Server, der die App bei Neuigkeiten benachrichtigen soll (Mailserver o.ä.), und legt sich wieder schlafen.
3. Wenn der Server eine Neuigkeit an die Samrtphone App senden will, nimmt er das Push Token und schickt es zusammen mit einer kurzen (verschlüsselten) Information an den Push Service APN (iOS) oder FCM (Android). In der Regel wird nur die Info "New Message here" gesendet.

4. Die Push Services leiten die Nachricht anhand des Push Tokens an das Smartphone weiter.
5. Das Smartphone empfängt die Nachricht, weckt die passende App auf und übergibt ihr den (verschlüsselte) Inhalt der Push Nachricht. Alle weiteren Aktionen übernimmt die App.

Für Android Apps gibt es Projekte, die Push Services bereitstellen (wollen), die unabhägig von Google funktionieren. Bei iPhones ist man immer auf APN von Apple angwiesen.

Polling ist eine Alternative zur Nutzung von Push Services. Statt auf eine Benachrichtigung zu warten fragt die Smartphone alle 10-20min bei dem Server nach, ob es Neuigkeiten gibt.

Beim Polling sind keine zusätzlichen Services von Apple oder Google notwendig, nur die Apps und Server sind in die Kommunikation involviert. Nachteilig ist vor allem ein hoher Energieverbrauch.

Implikationen für die Privatsphäre

• Bei Verwendung von Push Benachrichtigungen kann der Push Service (APN oder FCM) protokollieren, wieviel Benachrichtigungen ein Nutzer für eine bestimmte App bekommt, also wie intensiv die App genutzt wird. Die konkreten Inhalte der Nachricht sind i.d.R verschlüsselt.

• Behörden zur Strafverfolgung und Geheimdienste haben gem. Bestandsdatenauskunft in DE des Recht, alle Informationen abzufragen, die ein Provider (E-Mail, Messenger, Cloud…) im Rahmen der Bereitstellung des Dienstes über einen Nutzer gespeichert hat. Dazu zählen auch die Push-Token, die von einem Nutzer auf dem Server registriert wurden.

  Mit diesen Push Token könnten sich die Behörden an Google (FCM) oder Apple (APN) wenden und weitere Informationen aus den Datensammlungen der Smartphone Hersteller abrufen: Telefonnummer, IMEI des Gerätes, MAC- und IP-Adressen, SIM Nummer, Cloud Daten…

  iPhones senden außerdem alle 5min die MAC Adressen aller Geräte im gleichen WLAN an Apple. Das ermöglicht u.U. erweiterte Auswertungen der sozialen Kontakte.

  Mit diesen Daten könnten sich die Behörden an die Mobilfunkprovider wenden und bekommen dort Namen, Adressen, Kontonummern… der gesuchten Personen.

  Mit Push Token der APN und FCM Services können ALLE Anonymisierungsversuche ausgehebelt werden. Es schützt kein VPN, kein Tor Onion Router und ein Threema Account ist dann auch nicht mehr anonym. Die Kombination vieler Daten ist der Tod der Anonymität.

  Bei der Verfolgung eines Klima-Aktivisten, gegen den wegen Diebstahl und Wohnungseinbrüchen ermittelt wurde, haben französische Behörden von Protonmail im Sep. 2021 neben einem Logging der IP Adressen vermutlich auch die Herausgabe der Push Token verlangt.

Konfiguration von Push oder Poll in den Smartphone Apps

• Messenger auf dem iPhone verwenden immer Push via APN, es gibt keine Alternative. Somit ist man auch bei der Verwendung eines Messengers ohne Telefonnummer nicht wirklich anonym.
• Für Android gibt es Privacy-freundliche Messenger, die ohne Google Push Services arbeiten:
  • In Threema 4.71+ für Android kann man unter "Einstellungen → Über Threema → Fehlerbehebung → Threema Push benutzen" auf den Push Service von Threema umschalten.
  • Signal App bietet auf der Webseite ein APK zum Download für Nutzer mit hohen Sicherheitsanforderungen, dass keine Google Services benötigt.
  • Telegram FOSS aus dem F-Droid Store verwendet keine Google Push Services (FCM).
  • Im Session Messenger kann man die Google Push Services deaktivieren und statt dessen Polling aktivieren. Dann kann man aber nicht mehr angerufen werden.

  Messenger funktionieren ohne Google Push Services (FCM) nur, wenn man den Apps "Hintergrundaktivität" und "Hintergrunddatenverkehr" erlaubt! Bei einigen Android Samrtphones muss man zus. die Option "für Akku Betrieb nicht einschränken" für diese Apps aktivieren.

• E-Mail Server müssen nicht unbedingt Push Services unterstützen. Deshalb bieten alle E-Mail Apps für die allgm. Verwendung die Möglichkeit, Push oder Poll für jeden Server auszuwählen.
• Bei spezielle E-Mail Apps für einen besonderen Dienst ist es bei Android unterschiedlich:
  • Tutanota verwendet keine Push Servcies für die Android Smartphone App.
  • Die Protonmail App verwendet ausschließlich Push Services und bietet keine Alternative.
• Banking Apps, die man für das Online Banking benötigt, verwenden i.d.R Push Services, da sich die Programmierer nicht die Mühe der Implementierung einer Alternative machen.

• Google-freie Alternativen für das Android Betriebssystem wie das auf Sicherheit und Privatsphäre optimierte GrapheneOS für Pixel Smartphones unterstützen standardmäßig kein Push via FCM. (Damit sind einige Apps auf diesen Systemen nicht nutzbar.)

  (Bei Bedarf kann man auf diesen Systemen die MicroG Suite nachinstallieren, die Push Services via FCM ermöglicht.)

• Datensammler (OS)
• Android Alternativen
• Datensammler (Apps)
• Überwachung
• Es beginnt...
• WLAN off!
• PUSH oder POLL
• Tracking
  blockieren
• Standortdaten
  einschränken
• Dummy Tel.-Nr.
• OpenPGP E-Mail
• Kill Switch
• Juice Jacking
• Staatstrojaner
• IMSI-Catcher-C.
• Das Hidden OS