Willkommen

30. Januar 2022 - Lesezeit: ~1 Minute

Willkommen auf der Homepage der Familie Isler!

Hier erhalten Sie in unregelmässigen Abständen Neuigkeiten aus unserer Familie.

IodéOS auf einem Fairphone 4

13. April 2023 - Lesezeit: 7 Minuten

Diese Seite hilft, die auf einem neuen Fairphone 4 installierte Android Version durch IodéOS zu ersetzen. Als Basis wird diese Anleitung verwendet:

https://iode.tech/en/iodeos-installation/#1648127872188-649c78df-afd9

Bei der trat allerdings noch das ein oder andere Problemchen auf, dessen Lösung hier beschrieben ist.

Achtung: Die hier beschriebenen Aktionen löschen alle Daten auf dem Handy.

1. Starten Sie Ihr Handy das erste Mal und konfigurieren Sie es so einfach wie möglich (Keine SIM, kein Wi-Fi, kein google, keine Bildschirmsperre, keine erweiterte Garantie)
   
   
   
2. Entsperren Sie den Bootloader mit Hilfe dieser Anleitung:
   https://www.fairphone.com/en/bootloader-unlocking-code-for-fairphone-3/
   Hinweis: Das Handy muss mit dem Wlan verbunden sein, sonst funktioniert das Entsperren nicht.
   
   
   
3. Installern Sie ADB auf Ihrem PC.
   Bei Manjaro Linux geht das ganz einfach:
   pamac install android-tools
   PC neu starten.
   
   
4. Bei Debian ist die Sache etwas komplizierter. Die installierte Version 29 ist zu alt, die aktuelle Version 34 ist zu neu. Mit der Version 33 funktioniert's.
   Erst einmal die Android Tools installieren:
   sudo apt install android-sdk-platform-tools
   adb --version
   -> adb version 29.0.6-debian
   Version 33 holen:
   wget https://dl.google.com/android/repository/platform-tools_r33.0.3-linux.zip
   Die zip Datei auspacken.
   ./platform-tools/adb --version
   -> adb version 33.0.3-8952118
   Das Verzeichnis mit den Android Tools aus der Bibliothek sichern:
   sudo mv /usr/lib/android-sdk/platform-tools ./platform-tools-debian
   Die neue Verion in die Bibliothek verschieben:
   sudo mv ./platform-tools /usr/lib/android-sdk/platform-tools
   Damit ist Debian vorbereitet. Nach der Installation von IodéOS sollte der gesicherte Ordner wieder in die Bibliothek verschoben werden.
   
   
5. Am PC ein Terminal öffnen und adb eintippen, das sollte die Version und weitere Angaben anzeigen.
   
   
6. Jetzt muss USB Debugging am Handy erlaubt werden:
   Settings / Developper options / USB-debugging: on
   
   
   
7. Verbinden Sie Handy und PC mit einem USB Kabel
   
   
8. Bestätigen Sie die Meldung am Handy
   
   
   
9. Tippen Sie im Terminal folgenden Befehl ein:
   adb devices
   Als Antwort sollte folgendes erscheinen:
   List of devices attached
   <Serienummer> unauthorized
   
   
10. Um den Bootloader zu starten, tippen Sie folgendes im Terminal ein:
    adb reboot bootloader
    
    
    
11. Um den Bootloader zu entsperren, tippen Sie folgendes im Terminal ein:
    fastboot flashing unlock
    
    
    
12. Bestätigen Sie dies am Handy mit der Laustärke- und der Einschalttaste. Achtung: Diese Aktion löscht alle Daten auf dem Handy.
    Das Handy startet jetzt ein paar Mal, bis es schliesslich Android wieder startet wie beim ersten Mal.
    
    
13. Konfigurieren Sie das Handy wieder so einfach wie möglich, aktivieren Sie den Entwicklermoduns und erlauben Sie USB Debugging wieder.
    
    
14. Um den Bootloader wieder zu starten, tippen Sie folgendes im Terminal ein:
    adb reboot bootloader
    
    
15. Um zu testen, ob das fujnktioniert hat, folgendes im Terminal eintippen:
    fastboot flashing get_unlock_ability
    Die Antwort muss folgendes ausgeben:
    (bootloader) get_unlock_ability: 1
    
    
16. Nun müssen die beinden Dateien iode-...-fastboot.zip und iode-...-fastboot.zip.sha256 heruntergeladen werden von folgender URL:
    https://github.com/iodeOS/ota/releases/tag/v4-FP4
    Um die Integrität der zip Datei zu prüfen, folgendes eintippen:
    sha256sum -c iode-...-fastboot.zip.sha256
    Die Antwort muss OK anzeigen.
    
    
17. Folgendes im Terminal eintippen:
    unzip the file iode-...-fastboot.zip
    
    
18. Im Terminal ins neue Verzeichnis wechseln.
    
    
19. Um das Custom ROM auf das Handy zu kopieren, im Terminal folgendes eintippen:
    ./flash-all.sh
    
    Jetzt nicht die Nerven verlieren und am Handy nichts machen!
    
    
20. Nach einer Weile auf dem Handy den Bootloader wieder sperren mit der Laustärke- und der Einschalttaste
    
    
    
21. Das Handy startet danach IodéOS, welches das erste Mal konfiguriert werden muss.
    
    
    
22. Falls der Boot loader nicht gesperrt wurde, die folgenden Befehle im terminal eintippen:
    adb reboot bootloader
    fastboot flashing lock
    fastboot reboot
    Hinweis: diese Befehle löschen alle Daten auf dem Handy und es muss neu konfiguriert werden.

Beim Starten des Handys wird eine Meldung angezeigt, dass ein Custom ROM gestartet wird. Wenn der Einschaltknopf gehalten wird, verschwindet die Meldung sogleich wieder und IodéOS wird gestartet.

Die Installation von IodéOS braucht zwar etwas Zeit, doch man kriegt dafür ein Datenschutzfreundliches Minimalsystem. Um bei einem normalen Handy die Bloatware zu deaktivieren, braucht es erfahrungsgemäss sogar mehr Zeit, als IodéOS zu installieren.

Shelter - ein sicherer Platz für unsichere Apps

14. März 2023 - Lesezeit: 2 Minuten

In diesem Artikel wird erklärt, wie Whatsapp in Android so isoliert werden kann, damit es möglichst wenig Schaden anrichtet.

Hintergrund

Whatsapp will ja nicht nur unsere eigene Telefonnummer wissen, sonder greift überdies alle Kontakte aus dem Adressbuch ab, auch jene, die mit Whatsapp und dessen Mutterkonzern Meta nichts zu tun haben wollen.

Um wenigstens das zu verhindern, kann Whatsapp in einem separaten Benutzerprofil mit einem eigenen Adressbuch installiert werden. Beim Umschalten wird man von Android allerdings standardmässig  immer beim einen Profil abgemeldet und erst dann beim zweiten angemeldet. Es sind also nie beide Profile gleichzeitig aktiv, was etwas umständlich ist. Und hier kommt die App "Shelter" ins Spiel.

Shelter vereinfacht das Verwalten von zwei Android Benutzerprofilen und ermöglicht es, beide Profile gleichzeitig zu nutzen.

Installation

Die folgenden Schritte beschreiben, wie Whatsapp mit Shelter in einem separaten Profil installiert wird.

Shelter ist im Appstore F-Droid verfügbar und kann von hier aus installiert werden.

Beim Start der Shelter App wird kurz ihre Funktionsweise erklärt und danach werden die beiden Profile eingerichtet, links das persönliche, rechts das Arbeitsprofil (ebenfalls Shelter genannt).

Im persölichen Profil wird jetzt F-Droid gesucht und ins Arbeitsprofil geklont (Tapp auf die App und Auswahl "Klone zu Shelter").

Jetzt zum Shelter Profil wechseln und F-Droid starten.

In F-Droid die App Aurora Store suchen und installieren.

Aurora Store starten und Whatsapp insallieren.

Dann Whatsapp starten und sich registrieren.

Wenn bei Whatsapp das Häkchen "Erlaube Widgets in persönlichen Profil" gesetzt ist, kann Whatsapp direkt vom persönlichen Profil aus gestartet werden, läuft aber dennoch im Shelter.

Dasselbe kann auch mit dem Adressbuch im Shelter gemacht werden.

Zum Schluss sollte im neuen Profil noch die Werbe-ID gelöscht werden, da sie von google natürlich automatisch angelegt wird:

Einstellungen / Datenschutz / Erweitert / Anzeigen

Fazit

So kann Whatsapp zwar nicht mehr auf Kontakte, Fotos und Dateien zugreifen, aber alle anderen Trackingfunktionnen bleiben natürlich bestehen. Besser ist es also allemal, auf solche Apps zu verzichten.

Weiterführende Links

https://www.kuketz-blog.de/shelter-big-brother-apps-isolieren-take-back-control-teil7/

Klapp, Datenschutz für die Schule? - Nein!

3. September 2022 - Lesezeit: 12 Minuten

Klapp ist eine Kommunikationsplattform, die für Schulen gedacht ist, also für den Informationsaustausch zwischen Lehrern und Eltern oder Schülern. Sie verspricht eine einfache Bedienung, sowie mit Daten sorgfältig umzugehen.

Auf die Plattform kann mit einem Browser über ein Portal oder direkt mit einer Smartphone App zugegriffen werden. Die App kann aus den üblichen Stores installiert werden. Auf der Home Page gibt es zudem einen Link, mit dem die App als Android APK heruntergeladen werden kann.

Erst muss aber die Lehrperson eine Klasse einrichten. Die Eltern kriegen dann einen Code, mit dem sie sich registrieren können. Danach haben sie Zugriff auf Informationen, die ihr Kind, dessen Klasse sowie Lehrpersonen betreffen. Der Code kann beliebig oft weitergegeben werden, z.B. Betreuungspersonen, Grosseltern, usw.

Um es vorweg zu nehmen: Die Bedienung ist wirklich einfach und selbsterklärend. Zudem können Mitteilungen in sehr viele Sprachen übersetzt werden, was gerade für Eltern ohne lokale Sprachkenntnisse sehr hilfreich ist. Mehr Informationen gibt es auf der Home Page von Klapp.

Da Klapp mit Datenschutz wirbt, ist es natürlich interessant zu wissen, welche Tracker in der Home Page und in der App eingebaut sind. Um das herauszufinden, verwende ich das Plugin uBlockOrigin im Browser, sowie die Firewall NetGuard auf dem Smartphone (Android).

Erst wird einmal die Home Page von Klapp, klapp.pro, untersucht. Das Resultat ist ernüchternd, uBlockOrigin blockiert über 30 Tracker:Wenn bereits die Home Page eine solche Flut von unerwünschten Merkmalen aufweist, wirkt das nicht gerade vertrauenserweckend.

Portal

Die Home Page ist aber gemäss Herstellerangaben strikt vom Portal klapp.mobi getrennt, und da sieht es dann auch deutlich besser aus. Hier findet uBlockOrigin nur noch einen Tracker:

Angaben zu den verwendeten Domains:

Domain	Registriert bei	Betrieben durch	Zweck
klapp.mobi	key-systems.net Key-Systems GmbH 66386 St. Ingbert Deutschland	klapp.pro Klapp GmbH 5442 Fislisbach Schweiz	Sehr wahrscheinlich das Backend der Web-Applikation.
ik-server.com	infomaniak.com Infomaniak Network SA 1227 Carouge(GE) Schweiz	infomaniak.com Infomaniak Network SA 1227 Carouge(GE) Schweiz	Sehr wahrscheinlich ein weiteres Backend der Web-Applikation.
sentry.io	gandi.net Gandi SAS 75013 Paris, Frankreich	functional.software Functional Software, Inc. San Francisco, USA	Gemäss Herstellerangaben ein cloud-basierter Analysedienst, der die Stabilität von Web-, Mobil- und Serveranwendungen überwacht.

Die Frage, warum 2 verschiedene Backend Server für die Web-Applikation hinter dem Portal verwendet werden, wurde vom Hersteller bisher offen gelassen.

Wie der Tracker von sentry.io in die Web-Applikation eingebunden ist und welche Daten in die USA geschickt werden, ist momentan ebenfalls unklar.

Android App

Ein Blick auf die Android App (Stand vom 2022-09-03) zeigt anfänglich folgendes Bild:

sentry.io ist also auch hier anzutreffen. Über Firebase werden gemäss Herstellerangaben Push-Nachrichten in Android angezeigt. Die App versucht auch dann diese Verbindung herzustellen, wenn Push-Nachrichten abgewählt wurden.

Nach einer Weile herumspielen in der App sehen die protokollierten Verbindungen dann so aus:

Diese zusätzlichen Verbindungen scheinen mit dem Support-Center zusammenzuhängen.

Die Auswahl der Sprachen in der Übersetzungsfunktion deckt sich übrigens mit jener von Google Translate. Es ist daher anzunehmen, dass die Texte genau dorthin zur Übersetzung gesendet werden. Das passiert auf Serverebene, d.h. das wird in keinem Analysewerkzeug im Browser oder auf dem Smartphone erfasst.

Update vom 17. Sept. 2022

Am 2022-09-17 wurde die Version 3.4.4 der Android App verteilt. Bei der Auswahl der Sprache erscheint jetzt ein Hinweis, mit dem darauf aufmerksam gemacht wird, dass der Text zum Übersetzen an einen externen Anbieter (sehr wahrscheinlich Google) geschickt wird:

Mit dieser Version werden die Verbindungen im Zusammenhang mit dem Support-Center nicht mehr angezeigt. Wird das Support-Center in der App angewählt, wird die Seite support.klapp.mobi im Browser geöffnet, genauso wie beim Portal.

Das Support-Center ist aber, wie die Home Page, mit Trackern verseucht:

Dazu ist aber anzumerken, dass im Support-Center keine heiklen Informationen gespeichert werden, ausser sie werden von den Klapp-Benutzern hier eingegeben.

Update vom 8. Okt. 2022

Vor ein paar Tagen schickte der Lehrer unseres Kindes eine Nachricht. Da ich gerne per E-Mail über neue Nachrichten informiert werden möchte, habe ich das entsprechend eingestellt:

Ich bekam also eine E-Mail mit folgendem Inhalt:

Wenn der Link gedrückt wird, erscheint folgende Seite im Browser:

Um diese Voransicht sehen zu können, muss nicht eingeloggt werden. Da die E-Mail unverschlüsselt geschickt wurde, kann jedermann, der im Besitz des Links ist, die Nachricht lesen!

Der Satz "Aus Gründen der Vertraulichkeit wird die Nachricht hier nicht angezeigt." ist unter diesen Umständen nichts als ein schlechter Witz.

Update vom 5. Nov. 2022

Vor ein paar Tagen habe ich die App bei Google bewertet. Hier der Wortlaut der E-Mail, welche ich danach mit der Antwort des Herstellers erhalten habe:

*Klapp - School communication*
Your rating:★★

 Achtung, keine schützenswerten Daten speichern, der Datenschutz ist NICHT gewährleistet! Wenn z.B. E-Mail Benachrichtigung eingeschaltet ist, wird ein Link verschickt, mit dem die Nachricht ohne Anmeldung gelesen werden kann! Zudem werden Daten an US-Server geschickt, welche ist unklar. Anderseits läuft die App stabil, die Bedienung ist einfach, die Übersetzungsfunktion ist hilfreich.

*Antwort des Entwicklers:*

Alle E-Mail-Notifikationen aus Klapp werden über DSGVO konforme Dienste verschickt innerhalb der EU-Region, nicht US! Mit dem in der E-Mail-Notifikation verschickten Link kann niederschwellig und ganz bewusst die Konversation eingesehen werden. Ja, bitte keine besonders schützenswerten Daten über Klapp oder andere digitale Kanäle versenden. Danke!

Fazit

Die unverschlüsselten E-Mails, welche Klapp verschickt, sind ein Datenleck. Jedermann, der in den Besitz dieser E-Mails gelangt, kann damit die entsprechenden Nachrichten lesen. Die E-Mail Funktion muss daher in den Einstellungen unbedingt ausgeschaltet werden, und zwar von allen Eltern. Der Hersteller hat das Datenleck offenbar absichtlich eingebaut.

sentry.io stellt ein weiteres Sicherheitsrisiko dar, da dieser Tracker sowohl im Portal als auch in der App aktiv ist und unklar ist, welche Daten darüber abfliessen. Mit entsprechenden Blockern im Browser und einer Firewall auf dem Smartphone können zwar unerwünschte Verbindungen unterbunden werden, aber wer macht sich schon die Mühe, diese Werkzeuge zu installieren und zu konfigurieren?

Abgesehen davon machen sowohl das Portal als auch die App einen ausreichend datenschutzfreundlichen Eindruck. Aber ein falscher Klick, und man landet auf Seiten, die von Trackern übersät sind (Home Page und Suppot-Center). Hier wird der Datenschutz leider sträflich vernachlässigt. Die Begründung, diese Seiten verhielten sich so wie andere Marketing-Seiten, steht in krassem Widerspruch zu einer Firma, die verspricht, viel Wert auf Datenschutz zu legen. Dass es auch anders geht, zeigt threema.ch.

Von der Benutzung der Klapp App muss dringend abgeraten werden.