Push-Nachrichten

Push-Benachrichtigunen lassen eine unrechtmäßige Verwendung meiner Karte schnell erkennen, haben aber auch Privacy-Probleme

Ich habe erst eine Push-Benachrichtigun von Tomorrow gesehen und dort war „nur“ der Betrag der Kartentransaktion erkennbar

Möglicherweise gibt es noch andere Benachrichtigungen von Tomorrow, die persönliche Daten betreffen

Ich weiß nicht, wie es genau passiert, aber ich stelle mir das so vor:

(1) Die Tomorrow App oder der Tomorrow Server im Web sendet eine Nachricht an den Google Push Server
(2) Der Google Push Server sendet diese Nachricht an das Betriebssystem des Smartphones
(3) Das Betriebssystem schaut nach, ob der User Benachrichtigungen für die betreffende App sehen möchte
(4) Wenn ja, dann wird die Push-Nachricht angezeigt, wenn nein, wird diese unterdrückt

Weiterhin scheint es so zu sein, dass ich das Absenden der Push-Nachricht in der App nicht unterdrücken kann (es gibt lediglich einen Schalter für „receive exclusive offers and news via push notification“)

In der Tat heißt es in den FAQs: „To get these pushs you have to enable the notifications for our App on your smartphone“

Das heißt, das Ausschalten der Benachrichtigung über das Betriebssystem verhindert nicht, dass Google diese Benachrichtigunen mitlesen kann

Das wiederung gibt mir Anlass zur Sorge, denn wenn Google all meine Karten-Zahlungsvorgänge auswertet, dann trägt das nicht unsesentlich zu meiner Transparenz im Web bei

Am I right or wrong?

1 „Gefällt mir“

Hallo @nst0022 denke deine Vermutung ist richtig.

Wenn Tomorrow das aber so wie Threema unter Android handhabt, ist „Der Payload der Push-Benachrichtigungen (ist) leer und keinerlei Kontakt- oder Nachrichtendetails werden über diesen Kanal übertragen…“ Sprich Google erhält keinen Betrag und Händlerinfo. Mal davon ausgehend, dass du mit Karte zahlst und nicht mit Google Pay :slight_smile:

Trotzdem hat sich Threema entschieden für Android einen eigenen Push-Dienst bereitzustellen der somit vollständig auf Google verzichtet, um den digitalen Fußabdruck zu minimieren.

Kann mir aber kaum vorstellen, dass Tomorrow da den gleichen Aufwand betreibt und einen eigenen Push-Server für die Android-User bereitstellt.

Kenne mich unter Android aber nicht aus, da melden sich lieber noch die Androiden zu Wort :smile:

3 „Gefällt mir“

Danke für die informative Antwort und auch den Threema-Link (jetzt habe ich wieder eine Option mehr :blush:)

Geht mir auch so :grin:.

Aber, wie ich schonmal in einem anderen Post sagte, wer will schon in einer perfekten Welt leben ? :crazy_face:

1 „Gefällt mir“

@nst0022 Wir haben tatsächlich schon einen Ansatz für ein push-System ohne Firebase Library im backlog. Da das Thema aber super kompliziert ist, wird das wohl noch ne ganze Weile im Backlog liegen bleiben.

4 „Gefällt mir“

@Vinz: Ober-cool :grinning:

Bleibt die Frage, falls das noch „viele“ Jahre dauert, ob man nicht erstmal einen Schalter in die App einbaut, der das Lossenden der Push-Nachricht verhindert?

(Ich will jetzt natürlich nicht unbescheiden erscheinen, Forderungen habt ihr ja schon genug :grinning:)

Ich hatte angenommen, dass die Push-Benachrichtigungen sich auf die Kartenverfügungen beschränken, aber es werden auch, z.B., eingehende Überweisungen angezeigt.

Nachdem gestern meine alte Bank planmäßig mein Konto aufgelöst und den Restbetrag überwiesen hatte, sah ich in der Push-Nachricht den Betrag und meinen Namen.

Damit kennt Google jetzt meinen genauen Kontostand und kann sich in Zukunft, dank Betrag und Namen, ein Bild davon schaffen, wofür ich mein Geld ausgebe.

Der von mir oben vorgeschlagene Schalter hätte von Anfang an in der Tomorrow App implementiert sein müssen, ist er aber nicht und wird es wohl auch nicht werden.

Datenschutzkompetenz sieht anders aus.

Wenn Tomorrow hier schon so sloppy vorgeht, welche Rückschlüsse auf Tomorrows Datensicherheitskompetenz kann ich dann machen?

Es ist klar, dass ich diese Umstände nennen muss, wenn ich von Freunden oder Bekannten gefragt werde, ob ich mit meinem neuen Konto zufrieden bin.

Ich bin mir nicht sicher, ob Tomorrows Vorgehensweise datenschutzrechtlich überhaupt zulässig ist, in jedem Fall muss ich Tomorrow einen ersten, fetten Minuspunkt zuteilen.

3 „Gefällt mir“

Dazu hat Vinz nichts gesagt. Kann ja sein, dass es so gehandhabt wird. Das Beispiel mit Threema und eigenem Pushdienst ist nur noch eine Ebene besser. Wenn Tomorrow bei Android wie Threema vorgeht und der Payload der Nachrichten auch leer ist, weiß Google weder deinen Namen noch deinen Kontostand auf Grundlage der Push (Jedenfalls nicht aus dieser Quelle :wink: ) Aber wahrscheinlich hast du recht und das wird standardmäßig über den Pushdienst von Google im Klartext übertragen. Vielleicht kann @Marvin bei den Entwicklern nachfragen und schildern wie Tomorrow das aktuell handhabt.

1 „Gefällt mir“

Ich interpretiere das bei Threema so, dass dort drei Variationen wirken oder wirkten:

  1. eine Push-Nachricht über Google
  2. eine leere Push-Nachricht über Google, die dazu führt, dass die App aufgerufen wird und sich über den verschlüsselten Zugriff auf den eigenen Server die Daten abholt
  3. eine Push-Nachricht über den eigenen Server

Nur bei (1) kann Google mitlesen und das Schweigen von Tomorrow kann nur heißen, dass (1) implementiert ist, was kein Problem wäre, gäbe es den von mir schon mehrfach angesprochenen Schalter, der das Absenden der Push-Nachricht verhindert.

Dann wäre es die Entscheiung des Users, ob er oder sie diesen „Service“ nutzen möchte.

2 „Gefällt mir“

Ja genau, so verstehe ich es zumindest auch. :ok_hand:t3: Und Variante zwei wäre ja eigentlich das Mindeste im Bereich Banking.

Woraus interpretierst du das denn?
Gibt es denn Anhaltspunkte, dass Tomorrow den Push nicht nur nutzt um die App aufzuwecken, die Daten der Transaktion zu laden und eine Notification zu triggern? Das wäre aus meiner Sicht nämlich das naheliegendste.

Wir warten ja auf eine Aussage seitens Tomorrow. Momentan würd ich aber auch von Variante eins ausgehen.

1 „Gefällt mir“

Es ist zwar nicht ausgeschlossen, dass du Recht hast, aber ein (bisheriges) Schweigen als Grund für eine Vorverurteilung zu nutzen finde ich merkwürdig. „Ich weiß es nicht, darum weiß ich es“ macht auf mich einen relativ schwurbeligen Eindruck.

Deine Frage ist berechtigt und die Funkstille steht Tomorrow definitiv nicht gut zu Gesicht, aber bis @Marvin dazu eine Aussage tätigt, ist das aktuelle Narrativ… Mir fällt kein passendes Adjektiv ein.

Wenn du am Ende Unrecht hast, bist du Panikmacher. Vielleicht also die Rhetorik bis zur Klärung etwas zurück fahren.

Wenn du am Ende Recht hast, stehe ich mit dieser Mahnung dumm da, aber das Risiko gehe ich jetzt einfach mal ein.

6 „Gefällt mir“

Ob und welche der drei Varianten bei den Push-Nachrichten Anwendung findet, kann ich euch auf Anhieb tatsächlich nicht sagen - aber vielen Dank fürs Anstoßen des Themas! Ich habe das ganze mal an unsere Android Entwickler*innen weitergeleitet.

4 „Gefällt mir“

Ich hatte oben schon gesagt, dass der Vorteil der Push-Nachricht ist, dass man eine unrechtmäßige Kartenverfügung schnell identifizieren kann.

Das scheint aber nicht der Fall zu sein.

Ich hatte heute zwei Kontobewegungen und gestern auch zwei.

Von diesen vier wurde mir nur die letzte als Push-Nachricht angezeigt.

Damit ist dieser Sicherheitsaspekt hinfällig und es würde reichen, wenn die Nachricht nur „Hey, schau mal in die App, es hat sich etwas getan“ anzeigen würde.

Immerhin bekommt Google nur lückenhafte Kontobewegungen mit, was die Sache etwas verbessert.

(Ja, ich hatte das Telefon mehr als 24 Stunden ausgeschaltet gehabt, aber das ist ja nicht verboten)

1 „Gefällt mir“

Neugierfrage: erwartest du, dass nach dem einschalten des Telefons alle Push-Benachrichtigungen auf einmal zugestellt werden? Oder wie genau stellst du dir das vor? :slight_smile:

1 „Gefällt mir“

Das war im Forum tatsächlich schonmal Thema. Tomorrow hat sich aber, soweit ich das nachvollziehen kann, nicht dazu geäußert.

1 „Gefällt mir“

Wenn ich das richtig in Erinnerung habe, wollte Tomorrow die Benachrichtigungen irgendwann komplett überarbeiten, sodass dann alles zugestellt wird.

1 „Gefällt mir“

Das weiß ich nicht, darüber müsste ich nachdenken, aber das ist hier nicht das Thema.

Die lückenhaften Benachrichtigungen zeigen mir, dass der einzige Grund (= dass man eine unrechtmäßige Kartenverfügung schnell bemerkt), der ein Gegengewicht für die Datenschutzproblematik darstellen könnte, weggefallen ist.

Ich bin nach wie vor nicht davon begeistert, dass ich das Absenden der Push-Benachrichtigungen nicht abschalten kann.

Ehrlich gesagt würde ich das genau so erwarten. Die Push Nachrichten sind bei selbst getätigten Kartenzahlungen ja eigentlich relativ unnötig. Interessant wird es erst, wenn ein Push kommt, den ich keiner Zahlung zuordnen kann. Wenn so ein Push allerdings überschrieben wird, verfehlt das meiner Meinung nach den Sinn der Pushes.

1 „Gefällt mir“

Einverstanden! Konfigurierbarkeit ist ne feine Sache, da stimme ich dir 100% zu. Aber du hast das Fass mit dem ausgeschalteten Telefon aufgemacht, darum gestatte mir dennoch meine Frage: Welchen Wert hat es, wenn man beim Einschalten des Smartphones mit Benachrichtigungen zugeballert wird? Reicht nicht eine, um auf Kontobewegungen aufmerksam gemacht zu werden und die Details guckt man sich dann in der App an? Klar, Tomorrow hatte mal (wurde ja oben zitiert) Pläne geäußert, alle Benachrichtigungen zuzustellen, aber ich hinterfrage gerade, ob das die beste Wahl ist :face_with_monocle:

Das stärkt natürlich deine Position, dass eine Push-Benachrichtigung keine Buchungsdetails enthalten müsste - und generell deine Position, dass das konfigurierbar sein sollte (entweder vom Inhalt, oder ein echtes Ein- und Ausschalten, oder oder oder). Ist einfach ne bessere UX.

Die ursprünglich getätigte Aussage war ja aber, dass es von Haus aus Privacy-Probleme gibt, und diese sind (bisher) nur vermutet, nicht belegt. „der einzige Grund“ für die Benachrichtigungen mit Buchungsdetails bietet also - Stand jetzt - einen Mehrwert, der zwar möglicherweise nicht zuverlässig erfüllt wird, aber dennoch ein Mehrwert ist. Ob man das jetzt so löst, dass man alle Benachrichtigungen zustellt (auch bei lange ausgeschaltetem Telefon), damit der Mehrwert erhalten bleibt oder indem man die Benachrichtigungen generisch hält und die kritischen Details damit entfernt, das sind zwei unterschiedliche Ansätze mit unterschiedlichen Vor- und Nachteilen.

1 „Gefällt mir“