Signal App bringt Benutzernamen

[duda]

Welche Nachteile hätte es noch, dass Signal die Handynummer hat?

Ich sehe "Signal" hier nicht als Problem. Vielmehr ist m. M. n. das Augenmerk auf den (deutschen) Mobilfunkbetreiber zu richten, der irgendwann zwangläufig mitbekommen muss, dass die Mobilfunknummer 01234567890 mit dem Smartphone "XYZ" (IMEI: 09876543210) und dort u. a. mit der App "Signal" verkünpft ist. Nicht zu vergessen: Das Gespenst (der Flaschengeist) "Vorratsdatenspeicherung" geistert immer noch umher und ist noch lange nicht wieder in seiner "Lampe" gefangen!

[cane]

Bei der Vorratsspeicherung werden IP-Adressen erfasst. Der Mobilfunkbetreiber kann die IP-Adresse einem Phone mit einer Tel.-Nummer und einer IMEI zuordnen. Also kein Unterschied zwischen Messengern mit und ohne Telefonnummer.

[com]

kein Unterschied zwischen Messengern mit und ohne Telefonnummer

Wer sich ohne Telefonnummernzwang wohler fühlt und kein Geld ausgeben will. Session Messenger. Gibt es auch im F-Droid-Store.

[cane]

Also: wenn man bereit ist, seiner Tante die 66-stellige Account-ID notfalls auch mal am Telefon zu diktieren, Anhänge mit max. 10MB als ausreichend empfindet (reicht für Smartphone Schnappschüsse aber ein Foto mit einer richtigen Kamera wäre schon zu groß), keine Gruppen mit mehr als 100 Mitgliedern braucht (eyhhh - sogar die unbedeutenden [matrix] Chatgruppen der Kuketz Community und vom Privacy-Handbuch sind größer) und man außerdem kein Backup braucht (gibt es bei Session nicht, obwohl alle Daten, die älter als 96h Stunden sind, nur lokal auf dem eigenen Gerät gespeichert werden - aber Backups sind was für Feiglinge) , dann kann man sich mit dem Session Messenger wohlfühlen.

[com]

OHA. Da liegt einiges, um nicht zu sagen vieles im argen. Ehrlich gesagt ist Session bei mir nie über eine unbedeutende Testphase hinaus gekommen.
Ein Backup war da z.B. nie erforderlich.
Session scheint mehr Schein als sein.
Danke cane für die Hinweise!

[xanthippe]

Ein Argument für Benutzernamen und gegen Telefonnummer ist vielleicht der aktuelle Angriff aus dem Internet auf das Baseband:
https://social.tchncs.de/@kuketzblog/110040919255785188
Es reicht die Kenntnis der Telefonnummer.
(Ich dachte immer, ans Baseband kommt man nur, wenn man physischen Zugriff auf das Handy hat.  )

[duda]

(Ich dachte immer, ans Baseband kommt man nur, wenn man physischen Zugriff auf das Handy hat.)

Erinnere dich mal zurück an das seinerzeit als "sicher" geltende mTAN-Verfahren. Geschichte!

Angriff auf das Mobilfunk-Netz

Weitere Möglichkeiten wären der Einsatz eines IMSI-Catchers oder das Brechen der inzwischen nicht mehr sicheren GSM-Verschlüsselung. Diese Methoden erfordern allerdings örtliche Nähe zum Betrugsopfer, wofür erheblich mehr kriminelle Energie notwendig ist als beim Phishing, das ohne räumlichen Bezug ausgeführt wird.

Durch Ausnutzen einer Sicherheitslücke in dem in Mobilfunknetzen eingesetzten Signalling System 7 ist zudem auch das Abfangen von SMS aus der Ferne möglich, wie Tobias Engel 2014 auf dem 31. Chaos Communication Congress demonstrierte.[17] Anfang 2017 wurde diese Schwachstelle von Kriminellen erfolgreich genutzt, um mTANs umzuleiten und so Geld von Bankkunden zu stehlen[18][19].

Wiki: https://wikiless.org/wiki/Transaktionsnummer?lang=de

[pluto]

Es reicht die Kenntnis der Telefonnummer.

Wir sind am Arsch. Jeder von uns steht bestimmt bei jemanden im Telefonbuch mit Google Sync. oder Whatsapp. Ende der Privatsphäre.    :DOWN

[Bit]

Welche Nachteile hätte es noch, dass Signal die Handynummer hat?

So simple: Die Handynummer ist real!
Ich blase auch nicht (Teile) meine(r) realen Namen ins freie Internet ...
Einziger Vorteil: die Handynummer kann man leichter ändern, aber das ist immer noch zu aufwändig.

[pluto]

Ständig wird neu Verunsichert. Wie ist das hier denn einzuordnen?

Wer verhindern will, dass sich jemand mittels Multi-Device-Funktionalität unbemerkt Zugang verschafft, muss die Registrierungssperre setzen. Diese setzt aber eine gesetzte PIN voraus, welche mir wegen der Schwachstellen (s. o.) nicht gefällt. Wer nicht glauben mag, dass diese Schwachstellen längst als Hintertür dienen nutzt weiterhin Signal, setzt aber sicherheitshalber als PIN ein sehr langes sehr gutes Passwort. Dies darf niemals die Geräte-PIN sein!

https://tests-und-tipps.info/de/?service/instant-messaging/signal

Die Seite lobt auch Session. Manchmal denke ich, ich muss selbst Informatik studieren. 🤔

[Fjellrev]

Manchmal denke ich, ich muss selbst Informatik studieren.

Studieren musst du nicht, da kommen nicht mal selten auch nur Idioten hinten raus.
Mit genug Recherche lassen sich die nötigen Informationen finden, und wenn man eine Neigung für das Thema hat, lernt man eben.

Aber zum zitierten Text:

Wer verhindern will, dass sich jemand mittels Multi-Device-Funktionalität unbemerkt Zugang verschafft, muss die Registrierungssperre setzen.

Das ist Unfug, Signal hat keine Multi-Device-Funktionalität über die Registrierungsschnittstelle.
Du kannst zwar mehrere Geräte verbinden, das wird aber über deine bereits bestehende Signal "Registration"  getan.
Wenn du keine Registrierungssperre setzt, kann sich zwar jemand per abgefangener SMS bei Signal mit deiner Rufnummer registrieren, dabei wird aber deine alte Registrierung widerrufen. Es würde also dir auffallen, und deinen Kontakten, wenn diese entsprechende Benachrichtigungen nicht ignorieren, die noch immer vorhanden sein müssten.

Diese setzt aber eine gesetzte PIN voraus, welche mir wegen der Schwachstellen (s. o.) nicht gefällt.

Auch wenn man selber keine PIN setzt, wird einfach eine automatisiert generierte verwendet.
Also ist es "egal", ob du eine setzt oder nicht, die dahinter liegenden Funktionen werden aktuell so oder so genutzt - außer die Registrierungssperre.

Wer nicht glauben mag, dass diese Schwachstellen längst als Hintertür dienen nutzt weiterhin Signal, setzt aber sicherheitshalber als PIN ein sehr langes sehr gutes Passwort. Dies darf niemals die Geräte-PIN sein!

Stimme Ich zu, ordentliche Passwörter sind immer wichtig. Aber wenn man das so streng sieht, nutzt das lange Passwort angeblich auch nichts, wobei Ich da nochmal nachschauen müsste...

[NbN]

Immer noch nichts. 🤔

[pluto]

Keine Ahnung wieso die nicht damit rauskommen. Im Video sieht es schon so gut aus. Warten und Tee Trinken. 🍵

[pluto]

Es geht endlich los: Public Username Testing (Staging Environment)

[com]

Die Testversion der Signal-App ist jetzt sehr einfach direkt als apk zu beziehen. Wer Bock hat, hier gehts lang:
https://community.signalusers.org/t/public-username-testing-staging-environment/56866