Forum>Netzwerke>Fefes Rant zu Signal mit FB-Lacher

Fefes Rant zu Signal mit FB-Lacher

Stefan S.
Stefan S.07.04.2100:51

Oh Graus. Signal baut jetzt Payment ein.
Apropos Signal. Lacher am Rande. Bei dem Facebook-Datenreichtum ist ja auch der Datensatz von Mark Zuckerberg drin gewesen. Jemand hat die Telefonnummer in sein Adressbuch eingetragen. Und wisst ihr, was als nächstes passierte? Signal hat ihm gesagt: Zuckerberg ist auf Signal! Connect with him! Wie, ach, das habt ihr gar nicht auf dem Schirm gehabt als mögliches Privatsphäreproblem?
+3

Kommentare

massi
massi07.04.2112:14
Könnte den Artikel von Fefe mal jemand auf deutsch übersetzen?
+3
LoCal
LoCal07.04.2112:52
massi
Könnte den Artikel von Fefe mal jemand auf deutsch übersetzen?

Es geht da um zwei Dinge:
1. Bei Facebook sind neulich viele Daten "abgeflossen" (siehe auch hier: )
2. Signal greift wohl auf das Adressbuchs des Users zu und prüft, ob die Kontaktdaten die darin gespeichert sind, mit denen, die auf deren Server gespeichert sind übereinstimmen.

Nun hat sich halt irgendein Typ die geleakten Daten angeschaut und dabei den Zuckerberg entdeckt und mit den vorhandenen Daten in sein Adressbuch gespeichert … und daraufhin hat ihm Signal gesagt, dass Zuckerberg auch auf Signal ist und ob er ihn nicht auch auf Signal "anfreunden" will.

Das
Zuckerberg ist auf Signal
ist dabei eigentlich weniger die Sensation. Das was stört ist, dass Signal sich ja immer versucht so ein Saubermann-Image zu geben, dann aber Datenmatching macht.

Was im letzten Satz des Artikel ja auch ironisch gesagt wird:
fefe
Wie, ach, das habt ihr gar nicht auf dem Schirm gehabt als mögliches Privatsphäreproblem?
„Ich hab zwar keine Lösung, doch ich bewundere dein Problem“
+5
caMpi
caMpi07.04.2113:21
LoCal
2. Signal greift wohl auf das Adressbuchs des Users zu und prüft, ob die Kontaktdaten die darin gespeichert sind, mit denen, die auf deren Server gespeichert sind übereinstimmen.
Dass das Adressbuch gehasht hochgeladen wird, wird ganz klar kommuniziert und ist bei einem Messenger, der Kontakte anhand von Telefonnummern identifiziert, notwendig. iMessage macht das übrigens auch.
Außerdem gestaltet sich die Nutzung ohne Adressbuchsync einfacher als bei der Konkurrenz.
Andernfalls sind wir bei Threema, wo ich meinen Code über einen dritten Weg an meine Kontakte weitergeben muss.
LoCal
Das was stört ist, dass Signal sich ja immer versucht so ein Saubermann-Image zu geben, dann aber Datenmatching macht.
Tun sie nicht. Der Quellcode ist offen, das Prinzip bekannt und man weiß, worauf man sich einlässt.
Der Unterschied ist, dass Daten zumindest teilweise anonymisiert verarbeitet werden.
+7
pünktchen
pünktchen07.04.2113:21
Mir ist nicht ganz klar wo da das Privatsphäreproblem sein soll. Das Problem ist doch wohl dass die Telefonnummer bekannt geworden ist und nicht dass man nun weiss dass diese Nummer irgendwann mal bei Signal registriert wurde.

Steht auch alles hier:
Woher weiß Signal, dass mein Kontakt Signal benutzt?
Signal sendet periodisch abgeschnittene kryptographisch gehashte Telefonnummern zur Kontakterkennung. Namen werden niemals übertragen und die Informationen werden nicht auf den Servern gespeichert. Der Server reagiert mit den Kontakten, die Signal-Benutzer sind und verwirft diese Informationen anschließend umgehend. Dein Telefon weiß nun, welcher deiner Kontakte ein Signal-Benutzer ist und benachrichtigt dich, wenn dein Kontakt gerade mit der Nutzung von Signal begonnen hat.
+6
caMpi
caMpi07.04.2113:26
pünktchen
Mir ist nicht ganz klar wo da das Privatsphäreproblem sein soll.
Der Autor stört sich daran, dass Signal die lokalen Kontakte mit denen auf den Servern abgleicht. Wie gesagt, geschieht das zumindest mit Hashwerten.
+1
Stefan S.
Stefan S.07.04.2113:33
Nun, in der Kombination Datenleak (Tel.Nr) mit Signals Hashes kommt halt sowas dabei raus, was man vielleicht nicht wollte oder bedacht hat.

Übrigens hat Signal jetzt (endlich) auch den aktuellen Server-Code veröffentlicht (laut Golem).
Wobei keiner wissen kann, ob das der tatsächlich eingesetzte ist, der nicht im Serverzentrum nachgucken kann. (oder?)

In einigen Absätzen zeigt sich Fefe irritiert von dem "Verbal-Voodoo" mit dem die beteuern, dass alles bestens gesichert sei bei ihrem neuen Payment-Dingens.
Und er gibt zu bedenken, dass die Server in USA stehen und somit nicht vor staatlichem Zugriff geschützt sind.
+2
Kodo167007.04.2113:36
caMpi
Andernfalls sind wir bei Threema, wo ich meinen Code über einen dritten Weg an meine Kontakte weitergeben muss.

Das ist optional, auch Threema kann gehashte Telefonnummern abgleichen, und macht das bei der Installation auch, wenn man immer nur auf „weiter“ klickt.
0
beanchen07.04.2113:39
caMpi
Andernfalls sind wir bei Threema, wo ich meinen Code über einen dritten Weg an meine Kontakte weitergeben muss.
Auch Threema bietet die Möglichkeit das Adressbuch abzugleichen. Allerdings muss das manuell angestoßen werden und man wird auch nicht ständig mit der Nachfrage belästigt, man solle das doch tun.
+1
Stefan S.
Stefan S.07.04.2113:44
Stefan S.
In einigen Absätzen zeigt sich Fefe irritiert von dem "Verbal-Voodoo" mit dem die beteuern, dass alles bestens gesichert sei bei ihrem neuen Payment-Dingens.
Link dazu bei Heise:
+1
LoCal
LoCal07.04.2113:49
caMpi
LoCal
2. Signal greift wohl auf das Adressbuchs des Users zu und prüft, ob die Kontaktdaten die darin gespeichert sind, mit denen, die auf deren Server gespeichert sind übereinstimmen.
Dass das Adressbuch gehasht hochgeladen wird, wird ganz klar kommuniziert und ist bei einem Messenger, der Kontakte anhand von Telefonnummern identifiziert, notwendig. iMessage macht das übrigens auch.
Außerdem gestaltet sich die Nutzung ohne Adressbuchsync einfacher als bei der Konkurrenz.
Andernfalls sind wir bei Threema, wo ich meinen Code über einen dritten Weg an meine Kontakte weitergeben muss.
LoCal
Das was stört ist, dass Signal sich ja immer versucht so ein Saubermann-Image zu geben, dann aber Datenmatching macht.
Tun sie nicht. Der Quellcode ist offen, das Prinzip bekannt und man weiß, worauf man sich einlässt.
Der Unterschied ist, dass Daten zumindest teilweise anonymisiert verarbeitet werden.

Ok, danke für die Info. Ich nutze Signal nicht und habe nur versucht fefes sarkastische Art für @massi zu übersetzen.

Dass die Daten gehasht übergeben werden ist natürlich sehr sauber.

fefe stehe ich im allgemeinen recht kritisch gegenüber, denn zum einen ist er mir als einzige Quelle zu polemisch und, wie man auch oben sieht, steht da auch ab und an nur halbrichtiges*

Also noch mal sorry, falls ich Signal da was falsches unterstellt hatte. Was aber, und das geht aus dem OP leider nicht hervor, von fefe richtig dargestellt wurde ist, dass Signal über ein Jahr lang den SourceCode des Servers auf github nicht aktualisiert hat. Als das dann die große Runde machte (schon vor dem Bericht von fefe), pushte Signal ein Update … der Sprung in zwischen den Versionsnummern war gigantisch (3.x auf 5.4)!



*und manchmal, fällt er auch auf Scherze rein, verkauft sie als echte Nachricht … wie damals, als bei daringfireball eine Geschichte über einen Entwicklerstreit über eine Mail-App postete … das ganze zwar ein hoax. fefe verkaufte es als Beispiel wie arrogant Mac-Entwickler sind.
„Ich hab zwar keine Lösung, doch ich bewundere dein Problem“
+1
pünktchen
pünktchen07.04.2113:52
caMpi
Der Autor stört sich daran, dass Signal die lokalen Kontakte mit denen auf den Servern abgleicht.

Das ist mir schon klar aber ich verstehe nicht wieso er sich daran stört und Fefe erklärt das ja auch nicht wo sein Problem ist.

Aber wichtiger scheinen ihm ja zwei Sachen zu sein, das Hochladen eines verschlüsselten Backups der Kontakte durch Signal (von ihnen Secure Value Recovery getauft) und das herumexperimentieren mit dem MobileCoin Blockchain Geld. Wobei seine Kritik sich wohl zusammenfassen lässt als "kapier ich nicht, vertrau ich nicht". Kapiert er denn was PGP genau tut, dem vertraut er ja offenbar? Bisschen dünn.

LoCal
steht da auch ab und an nur halbrichtiges


ZB auch das mit dem gut versteckten QR-Code. Einmal auf den Kontakt, vierte Option in der Liste: Sicherheitsnummer anzeigen. Was er schreibt ist schlicht Quatsch.


Die PIN die für den Zugriff auf das verschlüsselte Backup benötigt wird hat Signal auch eingeführt um die Nutzung von Nutzernamen statt Telefonnummern zu ermöglichen. Damit Zuckerberg etwas anonymer chatten kann.
+2
Simoon
Simoon07.04.2113:57
LoCal
...
Das was stört ist, dass Signal sich ja immer versucht so ein Saubermann-Image zu geben, dann aber Datenmatching macht.

FUD. Signal kann optional mittels Hashes von Telefonnummern aus dem Adressbuch überprüfen, ob vorhandene Kontakte auch via Signal erreichbar sind. Das ist eine reine Komfortfunktion und man muss das explizit erlauben. Der Vorgang ist völlig transparent. Nutzt man das nicht, muss man halt explizit alle Telefonnummern von Hand eintippen.

Edit: Oh, ist ja schon klargestellt worden, hätte ich mir sparen können, sorry
+2
caMpi
caMpi07.04.2114:40
LoCal
fefe stehe ich im allgemeinen recht kritisch gegenüber, denn zum einen ist er mir als einzige Quelle zu polemisch und, wie man auch oben sieht, steht da auch ab und an nur halbrichtiges*
Sehe ich auch so. Alles gut.
Threema hab ich übrigens nur als Beispiel, wie es anders gehen kann, genannt.
0
Stefan S.
Stefan S.07.04.2114:51
Bei Heise meckern sie auch ein bißchen rum (Intel-Vertrauen…) und sagen für ein definitives Urteil fehlen aber noch Informationen.
Link dazu bei Heise:
[/quote]
+1
Stefan S.
Stefan S.07.04.2114:55
Kann ich denn bei Signal einstellen, dass, wer meine Tel.Nr hat, trotzdem nicht erfahren soll, ob ich bei Signal bin? Ist mir neulich nicht gelungen; obwohl ich Telefonbuch-Abgleich verboten habe, hat halt andersherum einer, der meine TelNr. hat sich gemeldet, denn der hatte das Adressbuch nicht gesperrt und hatte meine Tel.Nr. gespeichert. Fand ich schon komisch.
0
pünktchen
pünktchen07.04.2115:00
Es ist halt ein zusätzliches Sicherheitselement welches schwache Passwörter vor Brute-Force Angriffen schützen soll. Wer darauf nicht vertrauen will der sollte sich vielleicht ein sicheres Passwort wählen. Oder das Backup-Feature gar nicht erst benutzen. Mit MobileCoin wird das ähnlich aussehen.
0
pünktchen
pünktchen07.04.2115:03
Stefan S.
Kann ich denn bei Signal einstellen, dass, wer meine Tel.Nr hat, trotzdem nicht erfahren soll, ob ich bei Signal bin?

Nein kannst du nicht. Deine Telefonnummer ist dein Benutzername und dass es den gibt ist nicht geheim. Wäre ja auch ohne diese Funktion leicht herauszufinden, derjenige muss nur versuchen dich anzurufen. Signal müsste auf seinen Servern speichern wer dich anpingen darf und wer nicht, und dafür wiederum Daten unverschlüsselt speichern die sie besser nicht speichern sollten.

Das hängt alles an der Entscheidung Telefonnummern als ID zu nehmen, damit waren halt andere Messenger sehr erfolgreich und gegen genau die will Signal antreten.
0
pünktchen
pünktchen07.04.2116:36
PS - diese "few thoughts on Secure Value Recovery" fand ich informativ:
+1
Stefan S.
Stefan S.09.04.2100:04
Kuketz meckert auch:
-1
pünktchen
pünktchen09.04.2109:07
Ich verstehe auch überhaupt nicht wozu die da so digitales Spielgeld mit ranflanschen wollen. Die sehen mir alle klassischen Schneeballsystemen zu ähnlich. Da muss man sich nicht wundern wenn dass der Staat regulieren und kontrollieren will. Und das kann Signal nun gar nicht gebrauchen.
+2
Stefan S.
Stefan S.12.04.2101:06
Weitere kritische Stimmen bei Kuketz:
0

Kommentieren

Sie müssen sich einloggen, um sich an einer Diskussion beteiligen zu können.