Elliot fs0c131y Alderson zeigt: Alle spionieren und Google schaut zu
Der junge Franzose Robert Baptiste treibt gerade unter dem Pseudonym Elliot Alderson auf Twitter als @fs0c131y die Smartphone-Hersteller vor sich her. Wie er das tut? Er offenbart fast täglich neue Datenlecks in Smartphones, die deren Hersteller vorsätzlich oder fahrlässig offen ließen. Wir haben uns mit ihm darüber unterhalten, von wem wir Hilfe für mehr Privatsphäre erwarten können. Google ist es gewiss nicht.
- Privatsphäre auf dem Smartphone: So schützt Ihr Eure Daten
- Privatsphäre-Einstellungen: So machst Du Dein Facebook-Profil sicher
Robert Baptiste fiel der Tech-Presse in den vergangenen Wochen mehrfach auf, da er auf Twitter unter seiner Mr.-Robot-entlehnten Alias Elliot @fs0c131y Alderson schamlos mit dem Finger auf die großen Smartphone-Hersteller und Fehler in ihrer Software zeigt. Seine Analysen sind wasserdicht, wie wir und andere Redakteure in unabhängigen Tests nachvollziehen konnten.
- OnePlus-Rooten leicht gemacht: So schließt Ihr die Lücke selbst
- OPBugReportLite: OnePlus erneut wegen Schnüffel-Software in der Kritik
Aber wer ist Robert Baptiste? Was treibt ihn an? Und was bedeuten seine Entdeckungen für uns und für die Smartphone-Industrie? Im E-Mail-Gespräch wollte er nicht alle, aber doch genug Fragen beantworten. Und schnell wird klar, dass wir Typen wie Baptiste dringend brauchen.
Robert, was treibt Dich an? Warum tust Du, was Du tust?
Mein Hauptziel ist es, Leute über den Status Quo des Android-Ökosystems zu informieren. Heutzutage findet das komplette Leben mancher Menschen auf dem Smartphone statt. Sie vertrauen dem Hersteller des Gerätes ohne zu hinterfragen. Die Nutzer sollten aber verstehen, dass ihre Privatsphäre und der Schutz ihrer Daten in Gefahr sind.
Es ist so, als würde man ein Haus mit zwei Eingangstüren kaufen. Die zweite Tür ist jedoch verborgen und nur der Architekt weiß von ihr und hat ihren Schlüssel. Wenn Du als Interessent auf einmal von dieser Tür erfährst, bist Du dann noch immer bereit, dieses Haus zu kaufen? Und wenn Du dann noch erfährst, dass der Architekt regelmäßig heimlich vorbeikommt und Deine vertraulichen Dokumente einscannt? Beim Smartphone ist das doch genau dasselbe!
Konkret geht es um Entdeckungen in den Firmwares der Hersteller Wiko oder OnePlus. Andere Tüftler haben auf den Grundlagen von Baptistes Enthüllungen Lücken bei Asus, Xiaomi und anderen Herstellern gefunden. Parallel und unabhängig von Baptistes Arbeit wurde offenbart, dass Google ungefragt Standortdaten erfasst, selbst wenn Nutzer dies ausdrücklich untersagt hatten. Die steigende Zahl der Enthüllungen zeigt, dass es mächtig brodelt.
Doch warum sollten wir Baptiste glauben, wenn er sich als irgendwer ausgeben kann? Ich wollte also wissen, wieso er sich so gut mit der Materie auskennt. Er verrät uns, dass er ein 28-jähriger Franzose und selbstständiger Software-Entwickler sei.
Was hat Dich auf Smartphone-Software gebracht?
Ich arbeite seit Jahren mit Smartphone-Software und habe damit schon einigen Überblick übers Android-Ökosystem bekommen. Wenn man einmal gesehen hat, wie weit der AOSP-Code von dem entfernt ist, was der Endkunde in den Händen hält - wenn man das erst einmal begriffen hat - dann muss man die Leute darüber informieren, dass ihre Privatsphäre und die Sicherheit ihrer Daten in Gefahr sind.
Und was machst Du beruflich, dass Du dich damit so gut auskennst?
Ich habe vor drei Jahren meine eigene Firma gegründet und arbeite seither als Freelancer für große und mittlere Unternehmen. Üblicherweise mache ich Anpassungen am AOSP-Code für Smartphone-Hersteller, damit sie die Auflagen ihrer Kunden erfüllen. In dieser Position arbeitet man viel mit chinesischen OEMs zusammen, diskutiert mit ihnen und blickt tief ins Innere des Android-Kerns. Und genau dort trifft man dann auf solche Überraschungen.
Und was ist Dein Ziel bei diesen Enthüllungen?
In erster Linie geht es darum, die Leute zu informieren. Diese Unternehmen sind auf unser Geld angewiesen, wenn sie weiter existieren wollen. Aber wenn sie uns unsichere Produkte verkaufen, die uns ausspionieren, können wir sie zum Aufhören bewegen, indem wir der Welt sagen, was sie falsch machen.
Am Beispiel des OnePlus 5T zeigt sich, dass Baptistes bisherige Enthüllungen noch keine erkennbaren Früchte tragen. Der Hersteller wurde mehrfach erwischt, wie er seine Nutzer entweder absichtlich ausspioniert oder eine alte Lücke in der Software fahrlässig offen lässt, mit der es sich im Handumdrehen rooten lässt. Trotzdem bricht der Hersteller beim Verkauf des neuen Gerätes alle bisherigen Rekorde. Den Leuten ist Privatsphäre offenbar völlig egal.
Baptiste ist optimistischer als ich und prophezeit: "Das wird ein langer Kampf." Den Leuten sei Privatsphäre durchaus wichtig, aber "wir leben nun einmal in einer Konsumgesellschaft." Viele Leute glauben an die Marketing-Versprechen der Smartphone-Hersteller. "Wir brauchen also mehr Leute, die öffentlich für Privatsphäre einstehen und in den Medien sichtbar machen, dass dies die entscheidenden Fragen für unsere und die nächste Generation sind."
Android: Das Open-Source-System, das dicht hält
Ein weiteres Problem ist die mangelhafte Offenheit der Software. Weite Teile der Firmware sind weder für den Nutzer noch für externe Entwickler wie Baptiste einsehbar. Dieser Entwicklung hat Google in Form von Project Treble klein beigegeben: Die Closed-Source-Komponenten werden in eine separate Vendor-Partition verbannt und nur noch mit einer neuen Abstraktionssprache angesteuert. Welcher Code außerdem darin steckt und ausgeführt wird, kann nur ein geduldiger Experte herausfinden. Aber...
Wir finden schon einen Weg. Mit etwas Zeit und Einfallsreichtum ist nichts unknackbar.
Langfristig, erklärt mir Baptiste abschließend, müssen wir das Problem an zwei Fronten lösen. Zum einen sollten wir Projekte wie das Librem 5 unterstützen, die ein neues, Privatsphäre-fokussiertes Modell zur Gestaltung von Smartphones etablieren wollen. Zum anderen sollte Google "einmal ernsthaft aufräumen." Google sei sich im Klaren darüber, was [für eine Spionage und Datensammlung] Smartphone-Hersteller aktuell betreiben. Doch von Googles Seite ist nicht mit Hilfe zu rechnen, so lange sie ihre Software auf genügend Smartphones verteilen und so die Daten von deren Nutzern bekommen.
Baptiste bleibt optimistisch und glaubt daran, dass man ihn erhören wird:
Wenn der Aufschrei groß genug ist, werden die Leute vielleicht zuhören und anfangen, nachzudenken.
as it is called smart phone must be used in smart way without excess
accepting to communicate by wirless, is way of acepting to heared on wolrd wide airial channels
wirless mode of communication it open forum of discussion to all could join
Die Diskussionen um den Datenschutz sind zwar immer recht interessant, auch hier im Forum wird dann, wenn es um Googles oder anderer Hersteller Sammelwut geht von etlichen Usern der deutsche Datenschutz angesprochen. Aber wer hat sich schon mal genauer das BDSG angesehen?
Kleiner Auszug: Existiert eine deutsche Niederlassung eines Unternehmens, dessen Hauptsitz sich innerhalb der EU befindet, und geht die Datenerhebung, -verarbeitung oder -nutzung von dieser Niederlassung aus, so findet das BDSG Anwendung. Im Übrigen jedoch nicht.
Im Klartext: Welcher Smartphone Hersteller hat den Hauptsitz in Deutschland oder der EU? Da gibt's eigentlich nur Siemens. Nur nutzt Siemens auch Googles Android und deren Hauptsitz ist in den USA....
Und bei der Software? Google hat zwar eine Zweigstelle in Deutschland, geht aber die Datensammlung vom Mutterkonzern in den USA aus, können und dürfen sie rechtlich gesehen so viele Daten sammeln wie sie wollen, da das BDSG nicht anwendbar ist. Das gleiche gilt für alle App Entwickler, sie müssen sich an das Datenschutzgesetz ihres jeweiligen Landes halten, aber nicht an das BDSG sofern sie im nicht EU Ausland sitzen.
Klar, mir ist die Datensammelwut auch nicht recht, aber was dagegen tun können wir rechtlich gesehen nicht, wenn der Hauptsitz der Firmen nicht in Deutschland oder dem EU Ausland ist.
Hier der ganze Artikel: https://www.datenschutzbeauftragter-online.de/datenschutz-im-web-2-wann-gilt-das-deutsche-bundesdatenschutzgesetz/5518/
Oder hier: https://www.datenschutzbeauftragter-info.de/internationaler-datenschutz/
Edit: Mir kam da gerade eine Idee wie man das BDSG eventuell legal zu unseren Gunsten umgehen kann. Als Beispiel nehme ich einmal die GEMA und die Internet Radios. Die GEMA kassiert von den Internet Radios Gebühren für das Streamen. Nun gibt es einige Anbieter in den USA + Kanada die für Internet Radio spezielle Server zur Verfügung stellen und den Kunden suggerieren, das dies legal sei. Nun sagt aber die GEMA, dass das Streamen zu den dortigen Servern nur über deutsche Leitungen möglich und somit verboten ist.
Gäbe es nun nicht die Möglichkeit für die Eigentümer und Mieter der Sendemasten, sammelwütigen Firmen das Sammeln zu untersagen da sie ja Deutsche Sendemasten und Leitungen dazu nutzen? Die Eigentümer und Mieter unterliegen ja dem deutschen BDSG und werden dadurch somit unfreiwillig mit haftbar. Es ist ja jederzeit leicht möglich im Smartphone mit dieser App: https://play.google.com/store/apps/details?id=net.bananenfisch.connectionlist nachzuprüfen, wann welche App zu welcher IP online geht.
Der Hausvergleich leuchtet zwar ein aber dann muss man konsequenterweise auch sagen, (wenn man mal davon ausgeht, dass die anderen Häuser auch nicht sicherer sind) entweder man zieht ein oder schläft auf der Straße!
Sollte einen aber nicht davon abhalten, im eigenen Haus die Augen aufzuhalten ;-)
Solch spektakuläre "Enthüllungen" gibt es doch immer mal wieder. Hat sich denn bisher wirklich etwas geändert? Nein! Die Hersteller finden doch immer einen Weg zum "gläsernen Kunden". Big Brother ist schon Realität! Naiv, wer glaubt das wäre reversibel :-(
Ganz einfach, weil dem Kunden bisher kein Schaden entstanden ist. Wenn ich zwar weiß meine Daten sind irgendwo im Netz, aber es passiert mir nichts negatives werde ich auch kein Problem damit haben.
Ist das selbe wie mit den Handystrahlen und den eventuellen Schäden durch Krebs. Viele wissen davon und halten sich trotzdem täglich das Smartphone ans Ohr.
Woher willst du wissen, dass kein Schaden entstanden ist? Hier mal eine Erhöhung der Versicherungsprämie, dort mal ein abgelehnter oder teurer Kredit. Die Auswirkungen vom Verschleudern seiner Daten im Netz kann doch ein einzelner gar nicht einschätzen.
Ich weiß nicht ob kein Schaden entstanden ist. Aber du oder andere wissen ebensowenig das ein Schaden entstanden ist. Klar, möglich ist immer irgendwie etwas. Da ist den Machenschaften fast keine Grenzen gesetzt. Ich will deshalb genau wissen welche Daten von mir wo landen und was damit gemacht wird. Ansonsten bleibt alles Spekulation.
Niemand, der privat daraus direkten Schaden erlitten hat, wird das an die große Glocke hängen. Oder würdest Du in Deinem näheren Umfeld rumerzählen, daß z.B. Deine online-Kreditanfrage abgelehnt wurde? Wohl kaum. Es geht in erster Linie um finanziellen Schaden des Einzelnen: die Krankenversicherung erhöht die Beiträge, man findet keine günstigere Autoversicherung mehr, obwohl das Gegenteil der Fall sein sollte, Deine Hausbank räumt Dir keinen neuen Dispokredit ein,....das ließe sich beliebig fortsetzen.
Aber hier ist ein prima Beispiel, wie aus den Daten Nutzen gewonnen wird:
http://www.spiegel.de/wirtschaft/service/datenauswertung-bei-orbitz-apple-user-zahlen-mehr-fuer-hotelzimmer-a-840938.html
"Ich will deshalb genau wissen welche Daten von mir wo landen und was damit gemacht wird. Ansonsten bleibt alles Spekulation."
*Hust*....dann dürftest Du ab sofort Dein geliebtes WhatsApp nicht mehr nutzen.
Das ist mal eine interessante Sache, und auch mal was handfestes Belegbares. Aber sowas ist in etwa wie der Kunde im Autogeschäft. Kommt der in Anzug und Krawatte, dann ist ein Kaufvertrag und eine Probefahrt viel einfacher, als würde er in jogginghose und Muskelshirt erscheinen. Nur ist das offensichtlich, und das was da mit Applenutzer gemacht wurde ist hinterm Rücken.
Naja, eine andere Sortierung der Ergebnisse mit den Anbieter Sortierungseinstellungen ist ja jetzt nichts schlimmes. Wer dann auf der Seite trotzdem die eigene Sortierung wählt, also z.B. Preis Aufsteigend, hat auf beiden Geräten wieder die selben Preise für das selbe Zimmer stehen.
Da sehe ich jetzt keinen Nachteil darin
Von solchen Leuten müsste es mehrere geben, dann sehe die Welt schon besser aus ( Android Welt ).
Super Bericht, danke dafür. 👍🏼😀
Es ist sehr wichtig, dass ihr auch die "Schattenseiten" beleuchtet.
Tolles Interview und guter Artikel Apit!
Ich weiss schon genau, wieso ich meinen Terminkalender, Bankdaten nicht auf dem Smartphone habe und ganz wenige Extra-Apps aus dem Store nutze.
Würde mir wünschen dass die Fachpresse sowie der Kunde die Hersteller und Google zum "EU" Datenschutz zwingen!
Datenschutz!? Was ist das?
Datenschutz ist der Schutz den Firmen ihren eigenen Daten zukommen lassen. :zwinker:
Toller Artikel, generell lernt man wohl nie aus. Daher würde ich auf meinem Smartphone nie Bankgeschäfte oder Bestellungen in einem Onlineshop tätigen. Aber, dennoch eine Sauerei, dass ein Unternehmen wie Google oder wie immer sie auch heißen einfach sowas machen darf. Da ist die Politik gefragt, aber da können wir wohl von unseren Lobbyisten äääh Volksvertretern nichts erwarten.
Das ist mal ein Artikel, den unser Markus Licht unbedingt lesen sollte...
....und gleich kommen alle OnePlus Hater aus Ihrem Versteck gekrochen und entschuldigen sich für alles was sie denen zuvor an den Kopf geworfen haben 😀😉