Wir versuchen hier, die beliebtesten Dienste WhatsApp, Telegram, Signal und Threema übersichtlich zu vergleichen. Dabei haben wir uns angeschaut, was die einzelnen Anwendungen können, wer dahinter steckt, wie sicher sie sind – und natürlich, wie sie Daten erheben, verarbeiten und damit Geld verdienen.
Diese 4 und weitere Alternativen in tabellarischer Form: Secure Messaging Apps Comparison | Privacy Matters
Wohl eher kein Zufall, aber auch kein Grund, Whatsapp zu verdächtigen. Native Advertising + Nutzer-Tracking (IP-Adresse wäre hier naheliegend …) reicht schon, um zeitig nach dem Spielgenuss noch mal an die dort gesehene Werbung zu „erinnern“ 
Mal davon abgesehen, dass Daten von Oktober aufgrund der besonderen Umstände mittlerweile überholt sein dürften, erinnert mich „Die meisten nutzen Whatsapp.“ stark an den Sponti-Spruch: „Fresst Scheisse! Millionen Fliegen können nicht irren!“ (andere schreiben den Spruch Dieter Hildebrandt zu). Geringfügig höflicher ausgedrückt: Nur weil eine große Menge an Menschen etwas tut, muss es noch lange nicht sinnvoll sein. Beispiele dürften wohl nicht nötig sein
Die c’t hat i. ü. in Ausgabe 3/21 dem Thema verschlüsselte/sichere Kommunikation einen Schwerpunkt gewidmet – u. a. mit einem Editorial, welches manche so oder so ähnlich kennen dürften Telegram statt WhatsApp: Vom Regen in die Traufe
Einleitung: Nichts zu verbergen? Sicher und vertraulich kommunizieren: Ein Grundrecht [Andere Artikel sind wahrscheinlich hinter der Paywall.]
Podcast: Die Sicherheits-Abrechnung: WhatsApp, Telegram, Signal? | uplink #36.2
Sorry, ich hatte nur deinen letzten Beitrag grob überflogen und den Part bzgl. „ohne Rufnummer“ offensichtlich überlesen. Nach meinem Verständnis ist es exakt so, wie du angenommen hast: Falls sich sowohl Alice als auch Bob ohne Angabe ihrer Telefonnummern und Mail-Adressen bei Threema registrieren, müssten sie ihre Threema-ID über einen anderen Kanal austauschen, um miteinander kommunizieren zu können. Nicht umsonst gibt es dafür eine Funktion: How do I share my Threema ID? - Threema
Darüber hinaus ist der Hash wegen des beschränkten Wertebereiches wie weiter oben beschrieben ja auch in der Security/Krypto-Community umstritten.
Jo, Hashes sind nicht perfekt. Auch das steht explizit im verlinkten Dokument, mit der korrekten Schlussfolgerung:
ZitatTherefore, the servers treat phone number hashes with the same care as if they were raw/unhashed phone numbers. Specifically, they never store hashes uploaded during synchronization in persistent storage, but instead discard them as soon as the list of matching IDs has been returned to the client.
Letzten Endes gibt es halt keine 100-prozentige Sicherheit, schon gar nicht in der Zukunft. Bei Bedenken sollte man sich schlicht ohne Angabe persönlicher Daten bei Threema anmelden. (Früher oder später wird Signal das sicher auch ermöglichen – ohne Umwege. Die Einführung der PIN war ja schon ein wichtiger Schritt in diese Richtung.)
HCeline Es würde an sich reichen, einen Hash der Rufnummer zu bilden, zu speichern und zu vergleichen. Wie genau Threema das Verfahren umgesetzt hat, ist sicher irgendwo dokumentiert. *such*
Alles anzeigenThreema optionally lets the user discover other Threema contacts by synchronizing with the phone’s address
book. If the user chooses to do so, the following information is uploaded through a TLS connection to the direc-
tory server:
••HMAC-SHA256 hash of each email address found in the phone’s address book
○○ Key: 0x30a5500fed9701fa6defdb610841900febb8e430881f7ad816826264ec09bad7
HMAC-SHA256 hash of the E.164 normalized form of each phone number found in the phone’s address
book
○○ Key: 0x85adf8226953f3d96cfd5d09bf29555eb955fcd8aa5ec4f9fcd869e258370723
PS: Bei Signal läuft es ähnlich:
How does Signal know my contact is using Signal?
Signal periodically sends truncated cryptographically hashed phone numbers for contact discovery. Names are never transmitted, and the information is not stored on the servers. The server responds with the contacts that are Signal users and then immediately discards this information. Your phone now knows which of your contacts is a Signal user and notifies you if your contact just started using Signal.
Aber im Zweifelsfall nehmen viele halt lieber die Gratis-App oder den Dienstleister mit Werbung oder unvorteilhaften Datenschutzbestimmungen als zu zahlen. That’s life.
Man kann Chrome, gmail und Whatsapp nutzen, man muss aber nicht, weil es z. B. mit Brave, Posteo und Signal gute Alternativen gibt.
Glaubt ihr wirklich, dass jemand Gratis- oder So-gut-wie Gratis" Apps anbietet ohne eure Daten zu sammeln?
Wissen ist wie glauben, nur krasser Zu Signal gibt’s hinreichend Infos, man muss sie nur lesen wollen und zu würdigen wissen. Wer über die nötigen Fähigkeiten verfügt, kann sich auch selbst den Quellcode anschauen. Die Aluhüte kompilieren sowieso selbst und nutzen (möglicherweise) eigene Infrastruktur.
btw: Der Umkehrschluss aus deiner Behauptung wäre, dass sämtliche Anbieter von Open Source Projekten und diversen frei verfügbaren Webseiten im Netz die Daten ihrer Nutzer*innen insgeheim an Datenhändler verhökern. Völlig irrationale Vorstellung. Oder glaubst du z. B., dass Sankt Peter hier schwunghaften Handel mit einer lächerlichen Anzahl an Daten treibt?
Nicht alle Menschen sind von Gier getrieben.
If it is free, you are the product. Ist halt so. Überall. Die ernsthafte Alternative ist nur offline bleiben, und das ist für mich keine.
Oft oder meistens, aber ganz sicher nicht überall und insbesondere nicht im Open Source Umfeld. (Signal ist FOSS. Wer mag, könnte sogar einen eigenen Server betreiben …) Es gibt valide Alternativen zu allen großen Playern, man muss sich nur informieren, die Alternativen konsequent nutzen und Prioriäten setzen – und ja, auch auf gewisse Netzwerkeffekte kurz- und wohl auch mittelfristig verzichten können – oder sogar wollen! Wenn die andere Seite lieber weiterhin bequem und Produkt sein möchte, war die Kommunikation wohl doch nicht so wichtig …
2015
2021
nuff said
