Willkommen auf der Homepage der Familie Isler!
Hier erhalten Sie in unregelmässigen Abständen Neuigkeiten aus unserer Familie.
Diese Seite hilft, die auf einem neuen Fairphone 4 installierte Android Version durch IodéOS zu ersetzen. Als Basis wird diese Anleitung verwendet:
https://iode.tech/en/iodeos-installation/#1648127872188-649c78df-afd9
Bei der trat allerdings noch das ein oder andere Problemchen auf, dessen Lösung hier beschrieben ist.
Achtung: Die hier beschriebenen Aktionen löschen alle Daten auf dem Handy.
Beim Starten des Handys wird eine Meldung angezeigt, dass ein Custom ROM gestartet wird. Wenn der Einschaltknopf gehalten wird, verschwindet die Meldung sogleich wieder und IodéOS wird gestartet.
Die Installation von IodéOS braucht zwar etwas Zeit, doch man kriegt dafür ein Datenschutzfreundliches Minimalsystem. Um bei einem normalen Handy die Bloatware zu deaktivieren, braucht es erfahrungsgemäss sogar mehr Zeit, als IodéOS zu installieren.
In diesem Artikel wird erklärt, wie Whatsapp in Android so isoliert werden kann, damit es möglichst wenig Schaden anrichtet.
Whatsapp will ja nicht nur unsere eigene Telefonnummer wissen, sonder greift überdies alle Kontakte aus dem Adressbuch ab, auch jene, die mit Whatsapp und dessen Mutterkonzern Meta nichts zu tun haben wollen.
Um wenigstens das zu verhindern, kann Whatsapp in einem separaten Benutzerprofil mit einem eigenen Adressbuch installiert werden. Beim Umschalten wird man von Android allerdings standardmässig immer beim einen Profil abgemeldet und erst dann beim zweiten angemeldet. Es sind also nie beide Profile gleichzeitig aktiv, was etwas umständlich ist. Und hier kommt die App "Shelter" ins Spiel.
Shelter vereinfacht das Verwalten von zwei Android Benutzerprofilen und ermöglicht es, beide Profile gleichzeitig zu nutzen.
Die folgenden Schritte beschreiben, wie Whatsapp mit Shelter in einem separaten Profil installiert wird.
Shelter ist im Appstore F-Droid verfügbar und kann von hier aus installiert werden.
Beim Start der Shelter App wird kurz ihre Funktionsweise erklärt und danach werden die beiden Profile eingerichtet, links das persönliche, rechts das Arbeitsprofil (ebenfalls Shelter genannt).
Im persölichen Profil wird jetzt F-Droid gesucht und ins Arbeitsprofil geklont (Tapp auf die App und Auswahl "Klone zu Shelter").
Jetzt zum Shelter Profil wechseln und F-Droid starten.
In F-Droid die App Aurora Store suchen und installieren.
Aurora Store starten und Whatsapp insallieren.
Dann Whatsapp starten und sich registrieren.
Wenn bei Whatsapp das Häkchen "Erlaube Widgets in persönlichen Profil" gesetzt ist, kann Whatsapp direkt vom persönlichen Profil aus gestartet werden, läuft aber dennoch im Shelter.
Dasselbe kann auch mit dem Adressbuch im Shelter gemacht werden.
Zum Schluss sollte im neuen Profil noch die Werbe-ID gelöscht werden, da sie von google natürlich automatisch angelegt wird:
Einstellungen / Datenschutz / Erweitert / Anzeigen
So kann Whatsapp zwar nicht mehr auf Kontakte, Fotos und Dateien zugreifen, aber alle anderen Trackingfunktionnen bleiben natürlich bestehen. Besser ist es also allemal, auf solche Apps zu verzichten.
https://www.kuketz-blog.de/shelter-big-brother-apps-isolieren-take-back-control-teil7/
Klapp ist eine Kommunikationsplattform, die für Schulen gedacht ist, also für den Informationsaustausch zwischen Lehrern und Eltern oder Schülern. Sie verspricht eine einfache Bedienung, sowie mit Daten sorgfältig umzugehen.
Auf die Plattform kann mit einem Browser über ein Portal oder direkt mit einer Smartphone App zugegriffen werden. Die App kann aus den üblichen Stores installiert werden. Auf der Home Page gibt es zudem einen Link, mit dem die App als Android APK heruntergeladen werden kann.
Erst muss aber die Lehrperson eine Klasse einrichten. Die Eltern kriegen dann einen Code, mit dem sie sich registrieren können. Danach haben sie Zugriff auf Informationen, die ihr Kind, dessen Klasse sowie Lehrpersonen betreffen. Der Code kann beliebig oft weitergegeben werden, z.B. Betreuungspersonen, Grosseltern, usw.
Um es vorweg zu nehmen: Die Bedienung ist wirklich einfach und selbsterklärend. Zudem können Mitteilungen in sehr viele Sprachen übersetzt werden, was gerade für Eltern ohne lokale Sprachkenntnisse sehr hilfreich ist. Mehr Informationen gibt es auf der Home Page von Klapp.
Da Klapp mit Datenschutz wirbt, ist es natürlich interessant zu wissen, welche Tracker in der Home Page und in der App eingebaut sind. Um das herauszufinden, verwende ich das Plugin uBlockOrigin im Browser, sowie die Firewall NetGuard auf dem Smartphone (Android).
Erst wird einmal die Home Page von Klapp, klapp.pro, untersucht. Das Resultat ist ernüchternd, uBlockOrigin blockiert über 30 Tracker:Wenn bereits die Home Page eine solche Flut von unerwünschten Merkmalen aufweist, wirkt das nicht gerade vertrauenserweckend.
Die Home Page ist aber gemäss Herstellerangaben strikt vom Portal klapp.mobi getrennt, und da sieht es dann auch deutlich besser aus. Hier findet uBlockOrigin nur noch einen Tracker:
Angaben zu den verwendeten Domains:
Domain | Registriert bei | Betrieben durch | Zweck |
klapp.mobi |
Key-Systems GmbH |
Klapp GmbH |
Sehr wahrscheinlich das Backend der Web-Applikation. |
ik-server.com |
Infomaniak Network SA |
Infomaniak Network SA |
Sehr wahrscheinlich ein weiteres Backend der Web-Applikation. |
sentry.io |
Gandi SAS |
Functional Software, Inc. |
Gemäss Herstellerangaben ein cloud-basierter Analysedienst, der die Stabilität von Web-, Mobil- und Serveranwendungen überwacht. |
Die Frage, warum 2 verschiedene Backend Server für die Web-Applikation hinter dem Portal verwendet werden, wurde vom Hersteller bisher offen gelassen.
Wie der Tracker von sentry.io in die Web-Applikation eingebunden ist und welche Daten in die USA geschickt werden, ist momentan ebenfalls unklar.
Ein Blick auf die Android App (Stand vom 2022-09-03) zeigt anfänglich folgendes Bild:
sentry.io ist also auch hier anzutreffen. Über Firebase werden gemäss Herstellerangaben Push-Nachrichten in Android angezeigt. Die App versucht auch dann diese Verbindung herzustellen, wenn Push-Nachrichten abgewählt wurden.
Nach einer Weile herumspielen in der App sehen die protokollierten Verbindungen dann so aus:
Diese zusätzlichen Verbindungen scheinen mit dem Support-Center zusammenzuhängen.
Die Auswahl der Sprachen in der Übersetzungsfunktion deckt sich übrigens mit jener von Google Translate. Es ist daher anzunehmen, dass die Texte genau dorthin zur Übersetzung gesendet werden. Das passiert auf Serverebene, d.h. das wird in keinem Analysewerkzeug im Browser oder auf dem Smartphone erfasst.
Am 2022-09-17 wurde die Version 3.4.4 der Android App verteilt. Bei der Auswahl der Sprache erscheint jetzt ein Hinweis, mit dem darauf aufmerksam gemacht wird, dass der Text zum Übersetzen an einen externen Anbieter (sehr wahrscheinlich Google) geschickt wird:
Mit dieser Version werden die Verbindungen im Zusammenhang mit dem Support-Center nicht mehr angezeigt. Wird das Support-Center in der App angewählt, wird die Seite support.klapp.mobi im Browser geöffnet, genauso wie beim Portal.
Das Support-Center ist aber, wie die Home Page, mit Trackern verseucht:
Dazu ist aber anzumerken, dass im Support-Center keine heiklen Informationen gespeichert werden, ausser sie werden von den Klapp-Benutzern hier eingegeben.
Vor ein paar Tagen schickte der Lehrer unseres Kindes eine Nachricht. Da ich gerne per E-Mail über neue Nachrichten informiert werden möchte, habe ich das entsprechend eingestellt:
Ich bekam also eine E-Mail mit folgendem Inhalt:
Wenn der Link gedrückt wird, erscheint folgende Seite im Browser:
Um diese Voransicht sehen zu können, muss nicht eingeloggt werden. Da die E-Mail unverschlüsselt geschickt wurde, kann jedermann, der im Besitz des Links ist, die Nachricht lesen!
Der Satz "Aus Gründen der Vertraulichkeit wird die Nachricht hier nicht angezeigt." ist unter diesen Umständen nichts als ein schlechter Witz.
Vor ein paar Tagen habe ich die App bei Google bewertet. Hier der Wortlaut der E-Mail, welche ich danach mit der Antwort des Herstellers erhalten habe:
*Klapp - School communication*
Your rating:★★
Achtung, keine schützenswerten Daten speichern, der Datenschutz ist NICHT gewährleistet! Wenn z.B. E-Mail Benachrichtigung eingeschaltet ist, wird ein Link verschickt, mit dem die Nachricht ohne Anmeldung gelesen werden kann! Zudem werden Daten an US-Server geschickt, welche ist unklar. Anderseits läuft die App stabil, die Bedienung ist einfach, die Übersetzungsfunktion ist hilfreich.
*Antwort des Entwicklers:*
Alle E-Mail-Notifikationen aus Klapp werden über DSGVO konforme Dienste verschickt innerhalb der EU-Region, nicht US! Mit dem in der E-Mail-Notifikation verschickten Link kann niederschwellig und ganz bewusst die Konversation eingesehen werden. Ja, bitte keine besonders schützenswerten Daten über Klapp oder andere digitale Kanäle versenden. Danke!
Die unverschlüsselten E-Mails, welche Klapp verschickt, sind ein Datenleck. Jedermann, der in den Besitz dieser E-Mails gelangt, kann damit die entsprechenden Nachrichten lesen. Die E-Mail Funktion muss daher in den Einstellungen unbedingt ausgeschaltet werden, und zwar von allen Eltern. Der Hersteller hat das Datenleck offenbar absichtlich eingebaut.
sentry.io stellt ein weiteres Sicherheitsrisiko dar, da dieser Tracker sowohl im Portal als auch in der App aktiv ist und unklar ist, welche Daten darüber abfliessen. Mit entsprechenden Blockern im Browser und einer Firewall auf dem Smartphone können zwar unerwünschte Verbindungen unterbunden werden, aber wer macht sich schon die Mühe, diese Werkzeuge zu installieren und zu konfigurieren?
Abgesehen davon machen sowohl das Portal als auch die App einen ausreichend datenschutzfreundlichen Eindruck. Aber ein falscher Klick, und man landet auf Seiten, die von Trackern übersät sind (Home Page und Suppot-Center). Hier wird der Datenschutz leider sträflich vernachlässigt. Die Begründung, diese Seiten verhielten sich so wie andere Marketing-Seiten, steht in krassem Widerspruch zu einer Firma, die verspricht, viel Wert auf Datenschutz zu legen. Dass es auch anders geht, zeigt threema.ch.
Von der Benutzung der Klapp App muss dringend abgeraten werden.