Einfach nicht nutzen: Kommunikation mit Google-Messenger Allo ist unsicher

Wem Privatsphäre und Datenschutz am Herzen liegt, sollte Allo nicht nutzen. Foto: CC-BY-NC-ND 2.0 EnthY theZ

Google hat seinen neuen Messenger Allo vorgestellt. Der Messenger macht eigentlich auch nur das, was andere Messenger machen. Außer, dass dort der neue „Google Assistant“ integriert ist und man im Chat direkt Google-Suchen abfahren kann, wie bei heise.de ausführlich beschrieben ist. Dafür speichert der Messenger standardmäßig – und das ist im Jahr 2016 nun wirklich unverantwortlich – alle Nachrichten und alle Chats ohne Ende-zu-Ende-Verschlüsselung auf den Servern von Google ab. Google kennt also die Kommunikationsinhalte und kann damit die Messengernutzung der User analysieren, wie Motherboard ausführt.

Allo, geht’s noch?

In früheren Ankündigungen hatte Google die Privatsphäre des Messengers noch als Feature angepriesen. Nun heißt es, dass die Ende-zu-Ende-Verschlüsselung den intelligenten Funktionen entgegenstehe. Privatsphäre spielt also bei Allo keine Rolle. Die Ende-zu-Ende-Verschlüsselung im „Inkognito-Modus“ muss man als Nutzer immer wieder selbst einschalten. Das ist fehleranfällig, und im „Inkognito-Modus“ funktioniert dann auch der „Google Assistant“ nicht, der den Messenger von anderen unterscheidet. Das alles ist unpraktisch und verleitet zu unsicherer Kommunikation, bei der Google alle Inhalte der Chats kennt.

Die Idealkombination für sichere Kommunikation ist eine gute Ende-zu-Ende-Verschlüsselung und ein offener Quellcode. Beide Anforderungen erfüllt Allo nicht. Es gibt zahlreiche Alternativen, die in Sachen Sicherheit und Privatsphäre besser sind. Man kann also nur dazu aufrufen, die App nicht zu nutzen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

31 Ergänzungen

  1. Mit einem etwas serioeseren Ansatz haette man darauf abheben koennen, dass der Google Assistant natuerlich nur mit Zugriff auf die Kommunikationsdaten moeglich ist, und dann das fuer moeglichst oft gesicherte Kommunikation nicht optimale User Interface beleuchten. Dazu noch diskutieren, ob dass der Dienst anscheinend massiv auf den Google Assistant abhebt und Nutzung ohne eher lieblos erzwungen wird.

    Ist natuerlich einfacher, „Skandal, Google liest mit!“ zu schreiben. Aber halt auch etwas billig…

    1. Ist natuerlich einfacher, „Skandal, Google liest mit!“ zu schreiben. Aber halt auch etwas billig…

      Bei mir stellt sich ja ein leicht skandalöses Gefühl ein, wenn man es schon normal findet, dass der Anbieter die Inhalte mitliest. Finde ich ganz schön billig, also für Google.

      1. Nunja, das ist halt eine explizite Eigenschaft dieses Dienstes. Ja, darueber muss man aufklaeren. Und ich selber verwende idR eher Dienste gegen Geld, als mit meinen Daten zu zahlen.

        Fuer einen Skandal halte ich persoenlich nicht die Dienste, sondern die ganzen Deppen, die solche Dienste nutzen und das dann auch von anderen erwarten. Enough rope to hang yourself ist nunmal die freie Wahl muendiger Nutzer. Enough rope to hang others is unakzeptabel, leider wir haben idR halt keine muendigen Nutzer sondern Deppen.

    2. Im Jahr 2016 noch Messenger ohne Ende-zu-Ende-Verschlüsselung zu verteidigen, halte ich persönlich ja auch nicht gerade für einen seriösen Ansatz.

      1. Nur dass das primaer kein Messenger ist, sondern ein Messenger mit einem Google Assistant, was nur moeglich ist, wenn Google mitlesen kann.

        Wer den Messenger anders verwenden will, muss das einschalten. Das UI scheint nicht gerade optimal dafuer zu sein, d’accord.

        Aber es ist voellig witzlos, sich darueber aufzuregen, dass Google mitlesen kann, wenn der Google Assistant verwendet wird. Das ist das Grundprinzip eines Assistants. Es wird Leute geben, die einen solchen Dienst verwenden wollen und Google entsprechend weit trauen. Muss man nicht machen und muss man nicht moegen, aber es ist ein valides Angebot.
        Wenn ich eine Limousine mit Chauffeur verwende, dann weiss der Chauffeur auch, wo ich so hinfahre.

      2. Ende-zu-Ende Verschlüsselung ist möglich … vielleicht Mal ein bisschen informieren und dazu ist die Kommunikation zwischen App und Google Server sowieso verschlüsselt …. als ob Google die gleichen Fehler macht wie Facebook

    3. Irgendwann finden
      Menschen wie Du/Sie es noch normal, dass sie ihre Haustüren nicht abschließen können – weil sie sonst darauf verzichten müssten, dass jemand ihr Essen vorkaut und in den Mund legt. Wäre ja rückständig und Essen muss sein.

      1. Zum einen: Wer Servicepersonal beschaeftigt, hat oft genug Leute mit Schluessel zum eigenen Haus oder Wohnung. Das ist also offensichtlich ein valides Serviceangebot, findet keiner komisch.

        Zum anderen: man kann end to end Verschluesselung verwenden, und niemand muss Allo nutzen. Etwas weniger Schnappatmung wuerde der Diskussion gut tun.

        Relevantere Frage: wenn einer der Gespraechsteilnehmer end to end Verschluesselung einschaltet, wie sicher kann er sein, dass Google aussen vor bleibt? Wie sehr haengt das vom anderen Gespraechsteilnehmer ab, kann der zB seine empfangenen Messages bei Google im Klartext und mit Zugriff archivieren?

  2. The Verge (im Artikel verlinkt) schreibt:
    „Allo messages will still be encrypted between the device and Google servers, and stored on servers using encryption (that leaves the messages accessible to Google’s algorithms)“.

    1. Googles erklaertes Geschaeftsmodell ist das Sammeln und Auswerten von Daten, das Anbieten von Services zum Sammeln von Daten und das Anbieten von Services auf Basis dieser Daten. Das ist keine Spionage, das ist das recht transparente Angebot dieser Firma. Das kann man erstmal annehmen, muss man aber nicht.

      Man sollte natuerlich wissen, was man da tut. Googles Pflicht ist es, das darzustellen. Die Pflicht des Benutzers ist es, sich kundig zu machen und zu entscheiden. Oder sich als unmuendig zu erklaeren und einen digitalen Vormund zu bestellen. Den zB in Form eines Datenschutzsiegels in brauchbar zur Verfuegung zu stellen waere uU eine Aufgabe fuer eine qualifizierte und vertrauenswuerdige oeffentliche Einrichtungen.

      1. Nach ihrer Logik müsste Google allerdings ab 18 sein.

        Alles andere ist einfach BS. Abgesehen davon das die meisten IT-Fachmenschen selbst nichtmal „durchsteigen“ was Google so treibt. Soviel zur Transparenz. Von daher…was man von ihnen liest ist der größte und unreflektierteste Quatsch den ich je gelesen habe.

        Man hat 0 Transparenz wie die Daten erhoben werden, was damit gemacht wird, welche Produkte damit ergänzt werden, wo sie am Ende landen, in welcher Form sie wo vorliegen und wie sie dort gesichert sind etc. pp.

        Und zum Glück gibt man nebenbei ja auch jegliche Rechte an seinen „Inhalten“ auf.

        Und Menschen wie sie unterstützen diese Dummheit noch. Man könnte fast denken sozialverständnis ist für sie eine Barriere von Fortschritt ;)

  3. Gibts keine gescheiten Social Messanger? Irgendwas mit OTPs, Torrent-Sharing, OSS, Video- und Audiogruppen-Chat und VPN/TOR-Funktionalität? Eine eierlegende Wollmilchsau bitte! Zerstört Facebook!

    1. Nun, die echten Terroristen setzen eine eigene Terroristentelefonanlage (Asterisk) auf und dann auch ein … wenn man das nicht kann oder möchte, nimmt man ostel.co … Konferenzschaltung und schon kann jede Terrorzelle (Interessengruppe aus Bürgern bestehend) untereinander und miteinander den nächsten Terroranschlag (Demonstration) planen und auch während dieser verschlüsselt kommunizieren (Headset) … und ein XMPP Server ist auch schnell generiert, die gibbet auch schon „Schlüsselfertig“ … zum reinschnuppern z.B. von Turnkey … Suchstring: turnkey xmpp
      Tjoo … es fällt mir bestimmt noch so einiges ein!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.