Mastodawn

virtualnobi 3d ago

Kuketz-Blog 🛡

Signal musste auf eine US-Grand-Jury-Vorladung reagieren – für 37 Telefonnummern. Für 6 Accounts wurde tatsächlich etwas geliefert: Das Erstellungsdatum. Das war alles, was Signal herausgeben konnte. Keine Nachrichten, keine Kontakte, keine Gruppen, kein Profil. Minimale Datenhaltung in der Praxis.

https://signal.org/bigbrother/district-of-columbia/

#Signal #Datenschutz #Verschlüsselung #Privacy

/kuk

Grand jury subpoena for Signal user data in the United States District Court for the District of Columbia

Signal end-to-end encrypts both content and metadata by default far beyond most of our peers. Our aim is to have access to as close to no data as possible, meaning that we have a fraction of the personal information compared to the average communications service. We simply don’t have access to th...

Signal Messenger

@kuketzblog Mir ist immer noch schleierhaft, wo die Assoziation zu Google FCM und Apple APNS Push Tokens ist. Die muss rein technisch aber existieren, sonst funktioniert das nicht auf Mobile ohne permanente Verbindung (die Signal nicht hält). Und über diese Tokens bekommt man dann weitere Informationen heraus, sehr wahrscheinlich die Accounts (falls verknüpft - auf Android kann man ja FCM auch ohne Google Account nutzen) und dann u.U. den Namen usw.

Hat das mal jemand recherchiert?

@kuketzblog Ah ja, falls irgendeine Merle Meyerdierks oder ein Leonard HBB mich zitiert, distanziere ich mich ausdrücklich von dieser Person.

Kuketz-Blog 🛡Mar 12

@f09fa681 Schließe ich mich an.

@kuketzblog @f09fa681

Gut das ich die Zwei nicht lesen muss. Sind schon länger stummgeschalten.

voidstar Mar 12

@f09fa681 @kuketzblog Man kann Signal auch mit web hooks nutzen. Oder Molly mit unifiedpush.

@voidstar @kuketzblog Ja. Kann man. Aber macht das der Grossteil der User? Und wie wahrscheinlich ist es, dass das auf alle 37 Accounts zutrifft? Ich wage es zu bezweifeln.

voidstar Mar 12

@f09fa681 @kuketzblog Kann ich natürlich keine Aussage zu den 37 Accounts treffen. Wollte ja nur darauf hinweisen, dass man das Risiko mitigieren kann...

@voidstar @kuketzblog All good. Da hast du natürlich Recht. 😊 Sorry, dass ich es etwas misinterpretiert habe (wobei ich dir auch nichts unterstellen wollte).

Ch M[ae][iy]e?r 🇪🇺 🤍 🇬🇱Mar 12

@f09fa681
Soweit ich sehe, ist das immer noch eine unbefriedigend beantwortete Frage:

https://netzpolitik.org/2023/push-dienste-behoerden-fragen-apple-und-google-nach-nutzern-von-messenger-apps/

https://www.kuketz-blog.de/signal-threema-klare-kommunikation-zur-push-problematik-wuenschenswert/

Push-Dienste: Behörden fragen Apple und Google nach Nutzern von Messenger-Apps

Smartphone-Apps verschicken Benachrichtigungen über Apple und Google, auch vermeintlich sichere Messenger. Damit können Behörden Nutzer-Daten bei Smartphone-Firmen abfragen. Bis jetzt verweigern alle Beteiligten Auskunft darüber. Nach unserer Initiative fordert jetzt ein US-Abgeordneter Transparenz.

netzpolitik.org

@chbmeyer @kuketzblog Das stimmt. Und gerade weil Mike Kuketz die Frage selber gestellt hat, finde ich es fragwürdig, dass hier jetzt doch wieder suggeriert wird, dass die Daten gar nicht vorhanden wären.

Marvin W Mar 12

@f09fa681 @kuketzblog
Diese Daten wurden schlicht nicht angefragt, siehe https://mastodon.social/@larma/116216499552108692

Warum die Daten nach 18 USC §2703 abgefragt wurden kann ich nicht sagen, nach diesem Gesetz sind aber nur wenige, ganz bestimmte Daten abrufbar und man kann nicht einfach sagen, dass alles herausgegeben werden soll was gespeichert wurde. Und viele der nach diesem Gesetz abrufbaren Daten wie Name, Adresse und Zahlungsmittel hat Signal wirklich nicht.

Marvin W Mar 12

@f09fa681 @kuketzblog
Unter den abfragbaren Daten sind übrigens "telephone or instrument number or other subscriber number or identity, including any temporarily assigned network address". Ob jemals (erfolgreich) versucht wurde auf dieser Basis Push Tokens abzufragen weiß ich nicht, aber "subscriber identity" könnte an dieser Stelle eventuell so interpretiert werden.

@larma @kuketzblog Danke. Unter dem Aspekt finde ich es zumindest irreführend wenn Mike Kuketz davon spricht, dass das "alles sei was Signal herausgeben könne".

@kuketzblog Ist ja auch einfach wenn man seine ganze Infrastruktur ausgelagert hat und die Metadaten dann halt da anfallen 🫠 Und mit dem sehr genauen Zeitstempel des letzten Logins den Signal speichert und auch herausgibt, lässt sich dann der ganze Rest der Metadaten bequem mit der Telefonnummer korrelieren.

Ausserdem heißt nicht speichern noch lange nicht das Signal nicht verpflichtet werden kann zusätzliche Daten in Echtzeit zu erheben. Da gibt es in der USA eine spezielle Regelung die genau das ermöglich und natürlich per Gag-order darf Signal davon nichts sagen.

@kuketzblog #signalmessenger
Leute……zieht um zu Signal! Ich habe das schon vor Jahren gemacht und nur gute Erfahrungen.
Die Datenkrake WhatsApp brauchen wir nicht mehr!!

Daki Donom Mar 12

@kuketzblog Es bleibt weiter spannend. Am Liebsten würde ich mit Matrix meine Signal Kontakte Pflegen, doch das dauert wohl noch länger.

techfunk Mar 12

@kuketzblog ich hab ja Signal drauf, nur keiner aus meinen Kontakten nutzt es! Leider! Oder Threema ist auch nicht schlecht!?

Tobias🤖Mar 13

@techfunk @kuketzblog das Problem kenne ich. Familienmitglieder, die sich Partout nicht überzeugen lassen und auf WhatsApp bestehen. Ich selbst nutze ansonsten (außer der Familienchat) seit vielen Jahren Threema mit dem Freundeskreis. Signal habe ich als Alternative weil nicht alle Threema wollten.

@kuketzblog

@delta
Könntet ihr da technologisch mithalten?

Nils Ramsperger Mar 12

@kuketzblog spricht für #signal als Ersatz für z.B. #whatsapp

@[email protected] Wo sich dann schon die Frage stellt, warum Signal den Erstellungszeitpunkt und den letzten Zugriff speichert?

Uwe Caspari Mar 12

@Life_is @kuketzblog Erstellungsdatum ist mir auch schleierhaft. Letzter Zugriff ergibt IMO noch Sinn, so kann man Karteileichen identifizieren und irgendwann entfernen. Oder?

Cyb3rrunn3r :fediverse::verified::fckafd:Mar 12

@kuketzblog 🤣 Richtig so. DAS sollte standard sein - bei ALLEN Diensten, wo dies möglich ist.

Marvin W Mar 12

@kuketzblog
> Für 6 Accounts wurde tatsächlich etwas geliefert: Erstellungsdatum und letzter Verbindungszeitpunkt.

Da hast du dich wohl verlesen: Es wurden in dieser Vorladung nur Erstellungsdatum und letzter Verbindungszeitpunkt *abgefragt*, geliefert wurde tatsächlich sogar nur das Erstellungsdatum.

Andere Daten die Signal hat (wie zum Beispiel Anzahl der Geräte, deren Betriebssystem und Push Tokens) wurden hier schlicht nicht angefragt und deshalb auch nicht geliefert.

Kuketz-Blog 🛡Mar 12

@larma Stimmt. Korrigiert.

@kuketzblog @larma Es scheint mir jetzt jedoch immer noch irreführend, denn Signal könnte sehr wahrscheinlich mehr herausgeben. Es wurde nur nicht angefragt. Insofern ist auch die Schlussfolgerung leicht irreführend. (Sicher ist Signal global betrachtet ein Vorbild, aber hier wird doch ein wenig verharmlost.)

Buntbart Mar 13

@f09fa681
Signal ist ein US-Unternehmen. Bedeutet das nicht, dass es jederzeit dazu verdonnert werden kann, doch mehr Daten zu erfassen und sich außerdem in keiner Form öffentlich darüber zu äußern?

Manche Dienste hatten früher mal Hinweise auf der Homepage, das so etwas noch nicht passiert sei, und wenn diese Hinweise verschwanden, konnte man ahnen, weshalb. Hieß Warrant Canary oder Canary Notice, siehe: https://en.wikipedia.org/wiki/Warrant_canary

Gibt oder gab es sowas noch? Bei Signal?
@kuketzblog @larma

Warrant canary - Wikipedia

sonja dolinsek Mar 12

@kuketzblog sie bieten aber künftig Datenspeicherung an. Es wäre interessant zu wissen, ob das was ändert