ich nutze unter GrapheneOS im vertraulichen Profil die App Sparkasse aus dem Aurora Store. Ich möchte damit Kontobewegungen tracken - es besteht ja die Einstellmöglichkeit „Kontowecker“ . Mit der bekommt man eine Push-Nachricht bei jeder Kontobewegung aufs Handy.
Die sandboxed Google Play Dienste sind in dem Profil installiert und tuckeln zwangsläufig mit.
Ich frage mich allerdings ob die Push Nachrichten von meiner Bank via Google Server (!) zu mir verschlüsselt sind oder können Google/NSA den Inhalt der Push-Nachricht (Abbucher, Betrag, Ort) mitlesen (was natürlich ein NoGo wäre)?
Kann das jemand erklären?
Ein zwangsläufiges „Ping“ bei Google ginge für mich in Ordnung denke ich.
Das Thema wurde hier schon unzählige Male durchgekaut. Da hätte man einfach mal die Suche nutzen können.
Aber um es kurz zu halten lautet die Antwort: JA!
Eine Erläuterung dazu kannst du HIER und HIER nachlesen.
Viel Erfolg.
Push-Benachrichtigungen sind zwar transportverschlüsselt, aber natürlich nicht Ende-zu-Ende-verschlüsselt. Alles, was Apps über Push-Benachrichtigungen versenden, kann also von Google oder Apple mitgelesen werden. Hier liegt es an den App-Entwicklern, dem Prinzip der Datensparsamkeit zu folgen und gegebenenfalls Verschlüsselung zu implementieren.
Nachdem Benachrichtigungen aus dem Kontowecker der Sparkasse durchaus sensible Daten enthalten (ala ihre Zahlung von 32,98€ an Edeka wurde genehmigt) ist meine Frage ob die App-Benachrichtigungen der Sparkasse-App verschlüsselt sind?
Ich kann dir leider nicht ganz folgen wie du anhand der geposteten Links die Frage mit „JA!“ beantwortest? Hab ich was übersehen?
Push-Benachrichtigungen können an sich mitgelesen werden, allerdings ist es relevant welche Information wirklich in der Push-Nachricht mitgeschickt werden.
Meistens werden nur Nachrichten zum Aufwecken der App geschickt und der Inhalt um den es geht dann von der App direkt von den absendenden Servern geladen und angezeigt.
Normalerweise wäre die Informationsmenge daher eher App A schickt an Gerät B zum Zeitpunkt C eine Nachricht. Der Inhalt wäre hingegen nicht ersichtlich.
Leider noch nicht. Ich habe die StarFinanz über ihre Emailaddresse angeschrieben, eine automatisierte Eingangsbestätigung habe ich erhalten, mehr noch nicht.
Wenn weiter nichts kommt, werde ich mal den Supportkanal der App selber probieren. Ich bleibe dran und poste die Antwort. Versprochen.
Hey, zum Verständnis habe ich Star Finanz (Sparkasse App) folgende Frage per Mail gestellt:
Hallo,
Ich nutze die App „Sparkasse“ unter Android.
Folgende Fragen zu den Push-Nachrichten aus dem Kontowecker habe ich:
Wie sind diese abgesichert / verschlüsselt?
Erfolgt das Push nur zum Aufwecken der App oder wird die gesamte Nachricht via FCM auf die App übertragen?
Vielen Dank für eine kurze Antwort.
Mit freundlichen Grüßen,
Heute habe ich folgende Antwort bekommen:
Sehr geehrte Damen und Herren,
das ist bei den Funktionen der App Sparkasse unterschiedlich. (Kwitt, Wero, PushTan, Kontowecker, usw) Beim Kontowecker werden alle Push-Notifications an einen Nutzer mit einem Public-Token verschlüsselt. Dann gehen diese mit einer Push-Adresse von unserem Gateway Server über unser Backend an den jeweiligen Push-Notification Service von Google oder Apple. Diese verteilen die Notification an das jeweilige Gerät. Sollte die Notification nicht zugestellt werden können, versucht der Server den Vorgang beim Einschalten des Gerätes erneut. Allerdings gibt es (zu Ihrer Frage 2) verschiedene Notifications, je nach Priorität. Auch gibt es Begrenzungen in der Anzahl pro Stunde oder bei fehlenden Berechtigungen oder aktiviertem Stromsparmodus ect., was aber in der Regel von Google oder Apple vorgegeben ist.
Ich lese daraus, dass Push Nachrichten im Kontowecker verschlüsselt sind, die Nachricht allerdings komplett (kein wake-up) via Google zum Empfänger geht. Also habe ich nochmal nachgehakt:
Hallo,
vielen Dank für Ihre Antwort!
Ich schließe aus Ihrer Antwort, dass Push-Nachrichten aus dem Kontowecker zu meiner App verschlüsselt werden. Ich schließe daraus auch, dass die komplette Nachricht (verschlüsselt) via Google/USA von der Sparkasse auf mein Handy übertragen wird - nicht nur ein simpler „Aufweckruf“ an die App Sparkasse.
Ist das korrekt?
Vielen Dank für Ihre Bemühungen.
Danke für das Teilen der Information. Dass die Push Notifications den Inhalt in verschlüsselter Form beinhalten klingt ja dann recht gut.
Ich hätte dieses so nicht erwartet. Immerhin ist die Nutzdaten-Menge von Push-Notifcations bei Apple auf 4096 Byte beschränkt. Aber so ein Konto-Wecker-Meldung beinhaltet ja vermutlich auch nicht sonderlich viele Zeichen, sodass dieses gut auch mit Verschlüsselung passen kann.
Die gleiche Frage habe ich der Hanseatic Bank gestellt (von denen habe ich eine Kreditkarte).
Guten Tag XXXX
danke für Ihre Anfrage.
Unsere Push-Notifications werden nicht zusätzlich verschlüsselt. Eine Umsatzbenachrichtigung von VISA leiten wir über Google Firebase (FCM) an das jeweilige Device. Wir senden dabei lediglich den Text, den Sie als Kunde auch auf Ihrem Smartphone sehen, keine weiteren „versteckten“ Daten.
Wir wünschen Ihnen einen schönen Jahreswechsel.
Freundliche Grüße
Ihre Hanseatic Bank
Die Hanseatic Bank sendet also unverschlüsselt den vollen Text via Google zum Kunden. Das finde ich sehr enttäuschend.
Abhängig von den verschickten Inhalten würde ich ggf. den Datenschutzbeauftragten der Hanseatic Bank anschreiben oder gleich an den Landedatenschutzbeauftragten eine Beschwerde platzieren. Manchmal brauchen Firmen einen kleinen „Anstupser“ um sich korrekt zu verhalten.
