Magazin WhatsApp lockert nach Update Datenschutzeinstellungen der Nutzer

[TheTripleist]

Büdde.

 

[MacbookPro@Olli]

Langsam? War einmal vor ein paar Monaten.

Nein, genau in diesem Moment. Bei langen Gesprächsverläufen öffnet sich der Chat zögernd und wenn Nachrichten ankommen, ist das ein einziges Geruckel – wenn sie denn überhaupt mal pünktlich sind, Push ist sowieso Glückssache. Auf Android gibt es wieder andere Probleme aber auch da läuft es nicht bei allen rund.

Benutzt niemand? Bei mir mittlerweile mehr User als Telegram.

Bei mir auch, nur liegt die Anzahl immer noch im einstelligen Bereich.

Entwickler tun nichts um die App zu verbessern? Doch, also zumindest bei der Android Version konnte man seit Februar eine echt große Entwicklung und Verbesserung beobachten, es wird wirklich daran gearbeitet, das hat man gemerkt.

Keine Ahnung was mit Android ist, die iOS-Version ist jedenfalls nicht zufriedenstellend und die alle 1-2 Monate auftauchenden Bugfixes haben kein einziges meiner Probleme gelöst. Durch das Hinzukommen der unnötigen Sprachnachrichten ist die Stabilität noch schlechter geworden, manchmal frisst Threema zig 100 MB RAM.

Teuer? 1,79€ einmalig nennst du teuer und nutzt ein iPhone das mindestens einen halben Riesen gekostet hat? Und die Sicherheit deiner privaten Chats ist dir keine zwei Euro wert?

Es geht nicht um mich, es geht um eine nicht vorhandene Geschäftsstrategie. Es weiß doch jeder, dass eine Software (vor allem bei so harter Konkurrenz) länger kostenfrei sein muss, um eine nennenswerte Verbreitung erreichen zu können. Aber selbst bei "Aktionen" konnten sich die Entwickler nur zu einer Halbierung des Preises durchringen. Es gibt nämlich, oh Wunder, auch Menschen, die mit einer Android-Gurke für unter 100 € rumlaufen, die sehen nicht ein, überhaupt IRGENDWAS für Apps zu zahlen. Ach ja: Und dann gibt es noch die Spaßbremsen auf Android <4.0, die sind bei Threema komplett außen vor.

Doch, Threema verwendet die quelloffene und anerkannte Verschlüsselungsbibliothek NaCl. Lediglich der restliche Client ist nicht quelloffen, ich behaupte mal, ist jetzt nicht beleidigend gemeint, dass du nicht einmal die App vom Quellcode kompilieren könntest, geschweige denn, den Quellcode zu kontrollieren und dir daher Open Source code nichts bringen würde außer falsches Sicherheitsgefühl (oh, es ist Open source, da muss es jetzt total sicher sein!) .

Das ist vollkommen richtig, das könnte ich nicht, zum Glück bräuchte ich das auch gar nicht, da bei einem Audit einer solchen Software sicher genug Leute mitmachen würden. Und mir ist vollkommen klar, dass OSS nicht automatisch sicherer ist (ein prominentes Gegenbeispiel hatten wir ja gerade erst), aber dort gibt es wenigstens die Möglichkeit der Überprüfung, aber das weißt du alles selbst. Es ging mir aber um etwas anderes, das hast du offenbar nicht verstanden: In den Medien wurde Threema immer als am sichersten verkauft, und die Nicht-Quelloffenheit der anderen Clients als Argument gegen diese genutzt. Das ist der Grund für die relativ hohe Verbreitung, hätte man damals für einen kostenfreien Client geworben, wäre dessen Verbreitung aber viel größer und man hätte heute weniger Leute nur bei WhatsApp. Anders gesagt: Die massive Schlechtmache von anderen Clients hat ganz viele Leute verunsichert und am Ende bei WhatsApp bleiben lassen. Die Fragmentierung in zig verschiedene Clients hat zudem dazu geführt, dass man am Ende, wenn man in Gruppen kommunizieren muss/möchte, doch wieder auf WhatsApp zurückgreifen muss.

Achja: Und wenn der Client nicht offen ist, dann kann man doch nicht einmal prüfen, ob tatsächlich NaCl genutzt wird, oder liege ich da falsch?

 

[simmac]

Und wenn der Client nicht offen ist, dann kann man doch nicht einmal prüfen, ob tatsächlich NaCl genutzt wird, oder liege ich da falsch?

Ja, da liegst du falsch, so eine Überprüfung ist nämlich möglich.
Hier die Version für Android:
Okay, das Verfahren ist wie folgt: Du loggst die Datenpakete, die Threema sendet und empfängt mit, wenn du das direkt am Gerät machst geht das trotz SSL-Verbindung.
Dann nimmst du eine verschlüsselte Nachricht aus diesen Paketen heraus.
Als nächstes machst du ein ID-Backup. Da dieses mit deiner Passphrase AES-256 verschlüsselt ist, kannst du es mit derselben entschlüsseln und hast deinen privaten Schlüssel.
Nun lädst du dir NaCl und versuchst, diese Nachricht mit dem privaten Schlüssel zu entschlüsseln. Gelingt dies mit Erfolg, kannst du dir sicher sein, dass Threema diese Bibliothek verwendet.

Für die iOS - Version bietet threema eine Anleitung dazu, die aber nicht ganz so sicher ist, wie die vorher beschriebene (Stichwort gefälschte Logfiles): https://threema.ch/validation/

Und das Ganze ist im Vergleich zu einer kompletten Quellcode-Überprüfung ja geradezu deppensicher, wenn natürlich trotzdem zu kompliziert für den Normalanwender.

Ganz einfach überprüfen lässt sich dafür, ob die NaCl-Bibliothek überhaupt in die App eingebaut ist. Hier nimmt man die Android apk Datei, extrahiert sie und schaut in den Ordner für externe Bibliotheken.

Genaue Analysen haben auch zB Jan Ahrens (http://blog.jan-ahrens.eu/2014/03/22/threema-protocol-analysis.html) sowie der Twitter - User @netzblume durchgeführt.



Dass Threema unter iOS immer noch so träge ist, wusste ich nicht. Wird denn beim Öffnen eines Chats der gesamte Verlauf geladen?

Und das die Medien das etwas verzerren ist mir klar, da stimme ich dir auch zu. Würde ja auch Cryptocat, ChatSecure und Ähnliche verwenden, wären sie nur annähernd so bedienerfreundlich wie Threema bzw WhatsApp. Da lässt sich nun mal niemand dafür zu überzeugen.

 

[10tacle]

Also ich habe jetzt in den letzten paar Tagen, seit meinem Umstieg auf Telegram, schon die ersten nicht-Apple Nutzer dazu gekriegt, sich das zu installieren. Gestern Abend sind noch zwei hinzugekommen.

Klar wird die Liste bei Telegram niemals so lang wie bei WhatsApp, aber eigentlich geht es doch nur um die Leute, zu denen man tatsächlich regelmäßig Kontakt hat. Locker 7/8 meiner Kontaktliste besteht aus Leuten, die ich vor vielen Jahren mal kennengelernt habe, aber seitdem nix mehr von gehört habe (ja, ich könnte mal ausmisten).
Und da fehlen mir jetzt vielleicht nur noch 2-3 Leute von denen ich behaupten kann, dass wir regelmäßig schreiben. Und die auch noch zu überzeugen kann ja jetzt keine Schwierigkeit sein. Das heißt, der angebliche Vorteil von WhatsApp, dass es "ja eh jeder hat", ist gar nicht mal so bedeutend wie ich ursprünglich dachte... der Umstieg geht nämlich einfacher und schneller als man denkt, und da Telegram gratis ist und noch weitere Vorteile bietet, lassen die Leute sich da auch ganz gut überzeugen, auch wenn die meisten anfangs die Augen rollen.
Was ich bescheuert finde, denn da sieht man mal wieder wieviele Informationen an der breiten Masse vorbeigehen und wie egal den Leuten alles ist.

 

[MacbookPro@Olli]

Ja, da liegst du falsch, so eine Überprüfung ist nämlich möglich.
Hier die Version für Android:
Okay, das Verfahren ist wie folgt: Du loggst die Datenpakete, die Threema sendet und empfängt mit, wenn du das direkt am Gerät machst geht das trotz SSL-Verbindung.
Dann nimmst du eine verschlüsselte Nachricht aus diesen Paketen heraus.
Als nächstes machst du ein ID-Backup. Da dieses mit deiner Passphrase AES-256 verschlüsselt ist, kannst du es mit derselben entschlüsseln und hast deinen privaten Schlüssel.
Nun lädst du dir NaCl und versuchst, diese Nachricht mit dem privaten Schlüssel zu entschlüsseln. Gelingt dies mit Erfolg, kannst du dir sicher sein, dass Threema diese Bibliothek verwendet.

Interessant, ich kannte nur die iOS-Validation, die ja am Ende wieder über den Client läuft und somit nicht sicher ist.

Dass Threema unter iOS immer noch so träge ist, wusste ich nicht. Wird denn beim Öffnen eines Chats der gesamte Verlauf geladen?

Nein. Trotzdem ist die Stabilität der einzelnen Chats merkwürdigerweise von der Länge abhängig, sodass ich mit allen Leuten, mit denen ich dort viel schreibe, weggezogen bin. Das Pushproblem ist natürlich vollkommen unabhängig davon. Ich hoffe sehr, dass die App für die Version 2.0 komplett neu geschrieben wird, das ist ein einziges Flickwerk aus Softwarekomponenten, auf jeden Fall die schlechteste App, die ich überhaupt habe.

Und das die Medien das etwas verzerren ist mir klar, da stimme ich dir auch zu. Würde ja auch Cryptocat, ChatSecure und Ähnliche verwenden, wären sie nur annähernd so bedienerfreundlich wie Threema bzw WhatsApp. Da lässt sich nun mal niemand dafür zu überzeugen.

Naja, ich habe ja oben einige kostenlose Clients erwähnt, die zwar keine quelloffene Verschlüsselung nutzen, aber dennoch sicher immer noch besser als WhatsApp sind und ein gutes UI (zumindest auf iOS) haben. Die von dir genannten Alternativen sind natürlich höchstgradig unkomfortabel. Wir brauchen Software für jedermann.

Das heißt, der angebliche Vorteil von WhatsApp, dass es "ja eh jeder hat", ist gar nicht mal so bedeutend wie ich ursprünglich dachte... der Umstieg geht nämlich einfacher und schneller als man denkt, und da Telegram gratis ist und noch weitere Vorteile bietet, lassen die Leute sich da auch ganz gut überzeugen, auch wenn die meisten anfangs die Augen rollen.
Was ich bescheuert finde, denn da sieht man mal wieder wieviele Informationen an der breiten Masse vorbeigehen und wie egal den Leuten alles ist.

Also ich habe niemanden zum Umstieg gekriegt, von dem ich es vorher nicht auch schon erwartet hätte und der nicht auch halbwegs technikaffin oder kritisch wäre. Ich kenne sogar jemanden, der bei Telegram angemeldet ist, die App jedoch gelöscht hat, und nicht bereit ist, sie wieder für mich zu installieren, weil da ja eh niemand sei. Dafür benutzt man dann lieber irgendeinen Asia-Messenger, weil der ja so lustige Smileys hat. Am Ende müssen sich die meisten dann nur wegen mir dort anmelden und das sehen sie natürlich nicht ein, selbst dann auch noch Überzeugungsarbeit zu leisten, ist dann zu viel verlangt.