Bubcon – The next big thing fail messenger

Vorwort:
Dieser Artikel spiegelt die Situation zum Zeitpunkt der Veröffentlichung (September 2016) wider. Ob und wie sich die Situation seitdem verändert hat, muss der interessierte Leser selber prüfen.

Der Markt der Messenger ist von den großen Platzhirschen WhatsApp und Facebook Messenger dominiert. Genutzt von Menschen, denen doe Sicherheit der eigenen Daten, Sicherheit der Datenübertragung, Auswertung und Analyse, Datenschutz und Vertraulichkeit der Daten (Kontakte usw.) relativ egal sind und dieses ebenfalls auch Leuten antun, die sich in deren Adressbuch befinden. Nicht neu ist, dass WhatsApp einfach mal die kompletten Kontakte hochlädt. „Ist ja auch so schön bequem“ mag der ein oder andere denken. Ob der im Kontaktverzeichnis befindliche Kontaktpartner diesem zugestimmt hat oder nicht, ist ja auch egal. Die neuesten AGB Änderungen, die binnen weniger Sekunden von den WhatsApp Nutzern einfach mal akzeptiert werden (ohne natürlich gelesen, verstanden und die Folgen dieser Methoden bedacht zu haben), sprechen eine deutliche Sprache. WhatsApp ist nunmal Bestandteil von Facebook. Und als kostenloses Programm muss Facebook natürlich Profit aus dem ganzen Datenbestand schlagen. Also einfach mal alles analysieren, auswerten und Werbung unterbringen.
Da sind die wenigen, auf Sicherheit und Datenschutz /-sparsamkeit bedachten Messenger auf dem Markt recht überschaubar. Die „großen“ Player auf dem Markt sind dort wohl nur Threema und Signal. Alle anderen Versuche von Firmen, sichere Messenger mit Ende-zu-Ende Verschlüsselung auf dem Markt zu etablieren sind an häufig desaströsen Implementationsfehlern gescheitert. Speziell die Ende-zu-Ende Verschlüsselung steht häufig im Gegensatz zur Bequemnlichkeit der Benutzer. Für WA/ FB Nutzer ist das alles schon zu viel Aufwand und alles viel zu unbequem…

Nun hat vor einigen Wochen ein neuer Messenger das Licht der Welt (bzw. der AppStores von Apple, Google und Microsoft) erblickt: Bubcon Messenger. Vollmundig nach bester Buzzword-Bingo Manier als „Next generation messenger“ beworben. Die Nutzerdaten seien sicher, werden Ende-zu-Ende verschlüsselt, die Server stünden in Deutschland und so weiter. Also alles, was der geneigte Nutzer hören möchte, wenn er sich nicht mit dem Thema eingehend befassen möchte, Threema zu kompliziert oder nicht bunt genug sei.

Was aber macht einen sicheren Messender aus? Welche Aspekte sollte man sich als Nutzer ansehen? Was kann man prüfen?
Grundsätzlich sollte man sich ein paar Informationen einholen, eh man auf hohle Phrasen des Marketing-Blabla-Chefs hereinfällt. Wer großspurige Versprechen macht, der wird, sofern er von der Sicherheit und seinem eigenen Können überzeugt ist, ein wenig mehr Infos geben. Speziell die Ende-zu-Ende Verschlüsselung sollte erklärt werden, da diese nicht trivial ist. Und schon gar nicht von heute auf morgen fehlerfrei und wirklich sicher implementiert werden kann. Wird dann auch von sicherer Verschlüsselung bei Gruppenchats usw. geprahlt, sollte man hellhörig werden.
Auch ein weiterer Aspekt sollte hinterfragt werden. Wer steckt hinter dem Projekt? Wie sieht es mit der Gesellschafterstruktur und Haftungsfragen aus? Sitz der Gesellschaft? Startkapital? Wie finanziert sich das Unternehmen? Wie sollen laufende Kosten gedeckt werden? Wo kommt Geld für den Unterhalt, den Betrieb und weitere Entwicklung her? Was kann das Ziel des Projektes sein?
Und natürlich ist die Übertragung von Anmeldeinformationen, Benutzerdaten usw. nur verschlüsselt (HTTPS) zu erwarten. Es dürfen keine vertraulichen Daten vom Endgerät zum Betreiberserver übermittelt werden, die nicht unbedingt erforderlich sind. Keine Kontakte bzw. Adressbücher hochgeladen, keine Verknüpfung z.B. (s)einer Handynummer mit dem Account erforderlich sein.

Impressum Bubcon Media UG

Impressum Bubcon Media UG


Fangen wir bei dem „Unternehmen“ selber an. Laut Impressum handelt es sich bei dem Betreiber um BubCon Media UG (haftungsbeschränkt) mit zwei Geschäftsführern. Ah ja. Eine 1-Euro UG mit keinem Startkapital (gut, 1 Euro) und keinen Sicherheiten. Grundsätzlich ist die Idee einer 1-Euro-UG (auch „ich AG“) ja lobenswert, häufig aber auch direkt vom Scheitern verurteilt. Speziell die Haftungsfrage ist damit direkt geklärt: Sollte es hier mal etwas geben, gibt es nix zu holen.

 

Dann sehen wir uns laut Impressum mal den Firmensitz an.

(Firmensitz im Wohngebiet)

(Google Maps)

    An der Wende 23c
    51643 Gummersbach

Laut Google Maps ein (reines) Wohngebiet. Ein paar Häuser weiter ein Frisör, ein indisches Restaurant. Ah ja…

 

Da verwundert es auch wenig, dass das Copyright von 2015 ist, die Bilder von Fotolia und Disclaimer von e-recht24.de. Ein Unternehmen, welches auf Datenschutz und Sparsamkeit bedacht ist, würde dann sicher nicht noch Google-Analytics nutzen. Oder etwa doch? Bubcon macht’s….
Im Quelltext der Webseite zu lesen:

    Google Analytics Nutzung

    Google Analytics Nutzung

Da wundert man sich auch nicht, dass das WordPress-Admin-Login von überall erreichbar bzw. nicht weiter gesichert ist….

Passt schon mal alles zusammen.

 

Kommt man nun weiter zu den hochtrabenden und vollmundigen Versprechen der Datensicherheit und Ende-zu-Ende Verschlüsselung. Das Buzzword-Bingo geht weiter. Auf der Startseite prangt die Versprechung

    Bubcon Buzzword-PR

    Bubcon Buzzword-PR

Das klingt doch schon mal super. Und die bunten Bildchen, Icons und auch Videos auf der Seite erst. Unheimlich viel Marketing-bla. Aber keinerlei tiefergehende Informationen über eingesetzte Verschlüsselung, Schlüsselaustausch, Serverstandorte oder irgendwas, was di angeblich so sichere Technik mit handfesten Beispielen belegt. Von einem Audit mal ganz abgesehen.

Aber, und wir sind (natürlich nicht) erstaunt: Auf der Webseite prangt derzeit (Stand: Anfang September 2016) ein Hinweis, dass die Ende-zu-Ende Verschlüsselung derzeit deaktiviert sei.

    Keine Ende-zu-Ende Verschlüsselung

    Keine Ende-zu-Ende Verschlüsselung

Wenn aber der Messenger auf einer angeblichen Ende-zu-Ende-Verschlüsselung aufbaut, wie kann diese dann derzeit einfach mal so deaktiviert sein, dieser aber trotzdem noch weiter funktionieren? Wenn die Übertragung (und damit ist nicht nur der Transportweg gemeint sondern auch der Nachrichteninhalt) Ende-zu-Ende verschlüsselt ist, dann kann man diese eigentlich nicht einfach nur mal temporär deaktivieren. Wird die verschüsselte Nachricht auf Grund von technischen Problemen nicht übertragen, dann ist es ein generelles Problem (z.B. mit Servern, Anbindung usw.). Aber eine Deaktivierung (auch temporär) der Verschlüsselung kann nicht gehen.
Oder etwa doch? Ist der Messenger etwa in der Lage, willkürlich Nachrichten verschlüsselt bzw. unverschlüsselt zu übertragen? Kann dieses von Bubcon Media gesteuert werden?
Wenn dem so wäre, dann wäre es ein weiterer fataler Fehler. Denn, wenn die das könnten, dann könnte es wohl auch irgendwer anders im Zweifel. Die Vertraulichkeit der Daten ist damit also sehr fraglich, schließlich kann man scheinbar nie wirklich sehen, ob die Verschlüsselung nun aktiviert oder deaktiviert ist.

Ich verrate also nicht zu viel: Es hat sich schon der ein oder andere mit dieser Verschlüsselungproblematik befasst. Und sehr erschreckend: Es muss gar nicht tief gegraben werden. Schon der erste kurze Blick von Nexus (CCC Hannover) hinter die bunte Fassade zeigt, dass auch dieser Messenger (sogar noch mehr als andere) alles falsch macht, was nur falsch gemacht werden kann. Und nichts, aber auch wirklich gar nichts von den vollmundigen Versprechen auf der Webseite wird eingehalten. Von der Nutzung, Verbreitung ist nur abzuraten. Solch dilettantischer Versuch auf Kosten von Unwissenheit der möglichen Nutzer, falscher Versprechungen und falscher Behauptungen kann und darf in keinster Weise unterstützt werden.

Ich fasse die von Nexus ausführlicher beschriebenen Probleme mal kurz zusammen:

  • Es findet eine Verknüpfung von Handynummer zum Account statt
  • Die Programmierung zeigt einige grundlegende Fehler auf
  • Es wird das Jabber/ XMPP Protokoll genutzt
  • Benutzerdaten/ Anmeldedaten werden unverschlüssel übertragen
  • Das genutzte Zertifikat auf dem Jabber-Server ist ein Standard-Beispiel Zertifikat, dessen private Key im Netz vorhanden und bekannt ist. Eine HTTPS Verbindung ist damit quasi unbrauchbar, da quasi unverschüsselt
  • Es findet kein Zertifikats-Pinning oder Überprüfung statt
  • Es werden Kontakte einfach so übertragen. Kein Hash, kein salt, nix.
  • Die angeblichen Server in Deutschland sind bei Amazon AWS (freche Lüge also
  • Ende-zu-Ende Verschlüsselung existiert nicht (also auch gelogen)
  • Verbindungen zum Chat-Server sind unverschlüsselt
  • Datensparsamkeit ist nicht existent. Es wird einfach mal das Adressbuch unverschlüsselt und ohne Nachfrage hochgeladen.

Fazit

Keine der sicherheitsrelevanten Versprechen werden eingehalten. Noch schlimmer: Grundlegende Fehler bei der Implementierung sorgen für angeblich sichere Übertragung von Ende-zu-Ende verschlüsselten Nachrichten. Derartige Fehler sorgen dafür, dass man ohne viel Aufwand die Zugangsdaten und sogar die ganzen Nachrichten von Nutzern mitlesen kann.
Lieber sollte sich der Betreiber auf das erstellen bunter Webseiten beschränken, die die volle Bandbreite der Buzzword-PR-Sprache enthalten. Programmierung von angeblich sicheren Messenger ist definitiv nicht die Stärke.
Jeder Nutzer solch einer Software wiegt sich in nicht vorhandener Sicherheit. Das Produkt ist gefährlich. Und jeder weitere Nutzer, der hinzu kommt, sorgt dafür, dass der Betreiber weitere Kontakte erhält. Was er (oder z.B. Amazon) damit machen, weiß man noch nicht. Eine Alternative zu einem Messenger, geschweige denn sicheren Messenger, ist Bubcon auf keinen Fall.

Was also das Geschäftsmodell sein mag, kann man nur vermuten. Ich behaupte mal, dass ein möglicher Hype (durch deren PR Gefasel und Verbreitung auf angeblich seriösen Nachrichtenseiten) ausgelöst werden soll (unrealistisch, da quasi aussichtslos), der den Bekanntheitsgrad irgendeinem Risikokapitalgeber in die Hände gespielt wird. Dann kommt der Aufkauf des Unternehmens, geblendet durch das PR Geschwafel auf der Webseite und einer eventuellen Nutzerschicht.
Das wäre schlimm…

Aber immerhin gibt es einen kleinen Lichtblick: Ein gültiges Wildcard SSL Zertifikat für *.bubcon.com. Ausgestellt von AlphaSSL (Kosten: ab 149 Dollar/ Jahr)…

SSL Zertifikat Bubcon

SSL Zertifikat Bubcon

Links
Bubcon Webseite www.bubcon.com
technische Analyse von Nexus – https://hannover.ccc.de/~nexus/bubcon/bubcon.html

 
 

Update 1
Vermutlich die „PR“ Abteilung (also einer der zwei GFs) hat sich mit einem unqualifizierten Kommentar geäußert. Ich kann mir zumindest kaum vorstellen, dass jemand, der den Artikel gelesen hat und bei klarem Verstand ist so vehement für den Messenger plädiert und behauptet, dass alle keine Ahnung haben.
Leider hat der Kommentator dann noch nicht mal die Cochones gehabt, sich sachlich und mit richtigem Namen zu äußern.

Naja. Getretene Hunde bellen….

 
 

Zeitsprung
20. Oktober 2017. Ich erhalte eine eMail von (vermutlich) BubCon, Herrn Scholochow. Die Mail ist weder digital signiert noch kann die Echtheit anders verifiziert werden. Also nehme ich an, dass der Absender der ist, der er vorgibt. Der CEO von BubCon. Auch wenn ich dieses nicht gesichert verifizieren kann. Immerhin werde ich schon mal geduzt.
In dieser Mail werden Punkte aufgeführt, die sich seit meiner Artikelveröffentlichung vom September 2016 verändert haben sollen. Dieses bezieht sich sowohl auf die vom CCC aufgedeckten sicherheitskritischen Schwachstellen der Kommunikation der App mit den Servern als auch auf die Firmenstruktur, Loginschwachstelle usw., welche ich beschrieben habe. Alle Fehler seien behoben worden, so wird behauptet.
Ich möge meinen Artikel bitte anpassen. Hierzu wird ein Verweis auf die „gute journalistische Praxis nach Ziff. 3 des Pressekodex“ gegeben, der gleich zitiert wird. Hier geht es allerdings um Falschdarstellungen, die zum Zeitpunkt der Veröffentlichung tatsächlich anders waren als vom Verfasser dargestellt.
Und das ist und war nicht der Fall. Alle von mir aufgeführten Punkte und Bedenken waren richtig analysiert und richtig dargestellt. Es bestanden und bestehen keine Falschbehauptungen oder Lügen.

Gerne habe ich hierzu den oben aufgeführten Hinweis als Vorwort genommen, um noch einmal darauf hinzuweisen, dass der obige Artikel die Situation von September 2016 widerspiegelt. Inwiefern allerdings die in der Mail aufgeführten Behauptungen vollumfänglich umgesetzt sind, welche Sicherheitsprobleme in der Programmierung behoben wurden, welche Änderungen sich sonst noch ergeben haben, das kann nur durch weitergehende Beschäftigung mit BubCon verifiziert werden. Und erst dann kann dieses von mir z.B. in einem gesonderten Artikel oder in einer Erweiterung des bestehenden Artikels veröffentlich werden. Schließlich geht es auch um journalistisch saubere Arbeit.
Somit habe ich das Vorwort geschrieben, dieses habe ich dem Absender selbstverständlich mitgeteilt.

(Dass in seinem Mailfooter weiterhin UG aufgeführt ist, obwohl die UG mittlerweile in eine GmbH umfirmiert sein soll (wie in der Mail behauptet), nehme ich auch mit einem Schmunzeln hin. Ich kenne hierzu eher den Nachsatz „GmbH i.G.“…..)

Eine Woche später. 03.11.2017. Post von der Anwaltskanzlei Busekist Winter & Partner aus Düsseldorf, Herrn RA Dr. Lüghausen.
Seine Mandantin, die BubCon Media GmbH, würde nun durch die Anwalskanzlei die Änderung meines Artikels durchsetzen lassen. Unter anderem reiche seiner Mandantin nicht der Hinweis aus, dass die von mir festgestellten Aspekte und Bedenken nur mit meinem einleitenden Vorwort erweitert wurden. Vielmehr wurde mir vorgeschlagen, ich möge einen Text nehmen, den die Kanzlei auch gleich verfasst und beigefügt hat.
Inhaltlich kann ich nur sagen, dass dieses gegen meine Prinzipien der redaktionellen Pressearbeit verstoßen hätte. Vielmehr klingt es wie ein Werbetext. Aus diesem Grunde werde ich ihn aktuell nicht hier veröffentlichen.

Ich habe mir dann noch die Mühe gemacht, ausführlich dem Herrn RA Dr. Lüghausen zu antworten. Hierdrin habe ich ausführlich dargelegt, dass ich den vorgefertigten Text nicht übernehmen kann, aufgestellte Behauptungen nicht ungeprüft in meinen Artikel übernehmen werde. Journalistisch ist das keine saubere Arbeit. Und ich arbeite sauber, wie ich in Bezug auf die Faktenlage und Recherchearbeit zum Artikel verdeutlich habe. Natürlich habe ich mich bereit erklärt, dass ich, sollte mir trotz der ausführlichen Recherche ein Fehler unterlaufen sein, diesen selbstverständlich korrigieren werde. Man müsse mir diesen dann nur mitteilen.
Für eine Erweiterung des Artikels um aufgeführte Behauptungen müsse ich diese erst vollumfänglich prüfen, recherchieren und verifizieren. Gleichwohl habe ich hierzu schon mitgeteit, dass man bei gründlicher und sauberer, journalistisch korrekter Arbeit gute zwei Personentage veranschlagen kann. Also: Man kann das nicht mal nebenbei machen, geschweige denn binnen kurzer Zeit. (Hierzu unten mehr.)

Soweit also erstmal bis hier hin. Man könnte meinen, dass alles soweit verständlich dargelegt wurde. Ich werde nicht einfach ungeprüfte Behauptungen veröffentlichen oder mir einen Text vorschreiben lassen. Ich arbeite ehrlich und ordentlich und veröffentliche keine vorgefertigten Texte, die ich nicht zu 100% unterstützen könnte. Ich veröffentliche keine Werbung oder lasse mich bei meinen Texten sonstwie beeinflussen. Transparenz. Offenheit. Ehrlichkeit.

22.11.2017. Erneute Post von Herrn RA Dr. Lüghausen, Rechtsanwalt der Kanzlei Busekist Winter & Partner.
Der von mir vorgenommene Hinweis, dass mein Artikel zum Zeitpunkt des Verfassens im September 2016 die Situation widerspiegelt, reiche seiner Mandantin nicht aus. Mein Hinweis „ist gleichwohl nicht geeignet, die Berichtigungsansprüche unserer Mandantin zu befriedigen“, so heißt es.
Man könnte nun darüber streiten, inwiefern „Berichtigungsansprüche“ nötig seien. Schließlich wurde mir bis dato noch immer kein einziger Fehler offengelegt, welcher mir unterlaufen sei. Dass und ob sich vielleicht etwas verändert hat, ist zu hoffen. Schließlich wurden im September 2016 nicht nur kleine Programmierfehlerchen aufgedeckt, es wurden vielmehr Fehler innerhalb der Programmierung der App vom CCC aufgedeckt, die niemals in irgendeiner Art und Weise hätten passieren dürfen, grundlegende Prinzipien der Programmierung, der Sicherheit der Kommunikation sowie der Umgang mit Daten. Insofern muss man schon hoffen, dass solche eklatanten Fehler, schon aus Eigeninteresse, schnellstmöglich und bestmöglich behoben werden.
Nun wird mit Fristsetzung (hierzu weiter unten mehr) und der gerichtlichen Klärung gedroht. Mein Artikel solle nun dahingehend erweitert werden, dass ich, wie oben schon vorgenommen, erkläre, dass die Firma BubCon sich an mich gewandt hat und mitgeteilt habe, alle identifizierten Fehler beseitigt zu haben.
Gerne habe ich dieses somit vorgenommen. BubCon hat sich an mich gewandt (auch wenn ich die eMail nicht digital signiert erhalten habe, eine Echtheitsprüfung somit schwer möglich war) und behauptet, dass die identifizierten Fehler behoben wurden. Dieses kann ich selbstverständlich aktuell nicht vollumfänglich nachprüfen und bestätigen.

Herrn RA Dr. Lüghausen hatte ich in meinem ausführlichen Schreiben schon dargelegt, dass eine Prüfung der Punkte sehr umfangreich ist und für eine saubere journalistische Arbeit mit viel Aufwand verbunden sei. Geschätzt hatte ich diesen Aufwand mit 1-2 Personentagen, um alle Punkte eingehend prüfen und analysieren zu können und dieses im Artikel abzuändern bzw. einen neuen Artikel zu verfassen.

Nun kommen wir also zu der oben erwähnten Frist. Das Schreiben kam am 22.11.2017, mittags an. Das Fristende wurde mit 27.11.2017, 12 Uhr angegeben. Zu solch einer kurzen Frist gibt es ausreichend Urteile, inwiefern dieses als „angemessene Fristsetzung“ zu werten ist. Rechnet man nun noch zwei Tage Wochenende ab, so wird die Frist schon sehr eng für jemanden, der sich anwaltlich beraten lassen müsste. Es wird somit ein gewisser Druck aufgebaut, zu agieren. Da weder Gefahr in Verzug noch ähnlich dringliche Dinge anstehen, ist es somit absolut nicht zwingend erforderlich, eine solch derart kurze Frist zu setzen. Ohne hier einen Streit vom Zaun zu brechen belasse ich es mal dabei und reize es nicht aus.

Ich bin ja grundsätzlich gerne bereit, mich mit Herrn RA Dr. Lüghausen, gerne auch gerichtlich, zur Klärung der Frist und der „Berichtigungsansprüche“, zu treffen. Kiel ist immer eine Reise wert.
Da ich aber weder Zeit noch Lust hatte, die Sache eskalieren zu lassen, hatte ich mir mit meinem Schreiben an Herrn RA Dr. Lüghausen Zeit genommen, ausführlich zu erklären, inwiefern eine Überprüfung der Behauptungen möglich (oder eben auch nicht) ist. Weiterhin habe ich dargelegt, dass für eine journalistisch ordentliche Arbeit dieses unumgänglich ist. Ich veröffentliche keine ungeprüften Behauptungen, schon gar keine vorformulierten Texte. Transparenz und Offenheit.
Es reichte scheinbar nicht.
Also musste ich mir wieder Zeit nehmen, diese Erweiterungen zu verfassen und zu veröffentlichen. Ich hätte auch nur die geforderte Ergänzung schreiben können, dass ich von BubCon kontaktiert wurde und darin migeteilt wurde, dass alle identifizierten Fehler behoben wurden. Zwei Sätze, einfach in den Artikel geschrieben. Wäre kaum einem aufgefallen. Oder ich hätte den Artikel einfach gelöscht. Einfach klein beigeben, ohne Aufwand, weg. Aber sowas hat ein wenig den Geruch nach „Zensur“….

Aber die Geschichte scheint sich ja nun zu entwickeln. Aus einer aus vielerlei Hinsicht schlechten Softwareplanung und -programmierung wird nun noch eine PR Geschichte…
Da ich aktuell keinen Bedarf sehe, mir noch einmal die Mühe zu machen und erneut ein Schreiben an den Herrn RA Dr. Lüghausen zu schicken um zu erklären, wie aufwändig eine Prüfung ist, erspare ich mir dieses. Jeder, der technischen Verstand und einen Einblick in Softwareentwicklung, -planung, Sicherheitsprüfungen, Sicherheitsanalysen und ähnliches hat, wird mir beipflichten. Das ist nichts, was man mal kurz und nebenbei vornehmen kann. Nicht wie schnell mal eine App zusammenschreiben oder eine Webseite zusammenklicken…..

Sehr geehrter Herr RA Dr. Lüghausen,

1. eine „angemessene Fristsetzung“ von nicht einmal 5 Tagen? Gerne hätte ich das schon eskalieren lassen. Aber ich bin nicht wirklich darauf aus, das einmal richterlich klären zu lassen.
2. Zu Ihren Gunsten gehe ich davon aus, dass Sie mir nicht Hate-Speech unterstellt haben, wie von Ihrer Mitarbeiterin geschrieben.
3. Wie schon dargelegt kann ich die von mir festgestellten Punkte nur geprüft veröffentlichen. Diesen Zeitaufwand kann und werde ich nicht betreiben. Es gibt ja auch keinen Grund hierfür. Dass sich Dinge ändern, ist der Lauf der Zeit. Sollte jede nachträgliche Veränderung einer Situation „schöngeschrieben“ werden müssen, so könnte es bald keine Veröffentlichungen in Zeitungen, Zeitschriften, Blogs, TV, YouTube und Co geben. Jede Dokumentation, jede Publikation müsste alsbald gelöscht, eingestampft und vernichtet werden.
4. Digitale eMails mit angehängtem Schreiben von Anwaltskanzleien sowohl nicht zu verschlüsseln als auch nicht digital zu signieren zeigt auch, dass hier hinsichtlich Sicherheit wenig Gedanken verbracht wurden.
Und ein weiterer Hinweis, kostenfrei und gerne mitgegeben: Webseiten 2017 weiterhin unverschlüsselt zu übertragen sollte man auch gut überdenken. Da möchte man gar nicht weiter nachdenken, was sonst noch so an Sicherheitsproblemen existieren. Ein Audit würde möglicherweise einige Punkte aufdecken. Und Mandanten sollten auch sowas hinterfragen, ebenso den Versand unverschlüsselter eMails.

Ob diese Geschichte nun weiter geht und tatsächlich Klage eingereicht wird, wird man sehen. Schon aus PR Gründen hätte ich als Geschäftsführer einer Firma versucht, nach diesen desaströsen Sicherheitsproblemen und -entdeckungen, dieses vielleicht sogar gemeinsam zu klären. Ohne weitere Nachricht eine Kanzlei zu beauftragen erscheint mir hierbei vielleicht nicht ganz hilfreich.

Aber jede schlechte Werbung ist ja schließlich auch Werbung. Für einen Messenger, der 2016 gezeigt hat, was er kann.

Weiterhin bestärkt sollte man sein, sich die Nutzung des Messengers wohl zu überlegen. Wirklich sichere Messenger wie Threema, Signal, Wire und andere zeichnen sich damit aus, von Anfang an sicher gewesen zu sein, strukturelle Planungen vorzunehmen und Sicherheit groß zu schreiben. Denn darauf kommt es an, wenn man einen sicheren Messenger veröffentlichen möchte. Es dürfen keine (großen) strukturellen Fehler in der Anfangsphase gemacht werden, die sich dann vll. Über lange Zeit in einem System halten. Wenn schon die Kommunikation zwischen App und Servern nicht sicher ist, wie sicher sind dann die Server? Wie sicher die Kundendaten? Sind die Server gehärtet? Wie sicher sind die Zugriffe auf den Server? Administration der Server?

Jeder, der bis hier gelesen hat, wird sich sicher sein eigenes Bild gemacht haben.

Dieser Beitrag wurde unter Allgemein, Dokus und Tipps abgelegt und mit , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Kommentare zu Bubcon – The next big thing fail messenger

  1. Martin Müller sagt:

    Ich finde es viel erschreckender, wie gut dieser MasterFail-Messenger noch bei GooglePlay bewertet ist (Wahrscheinlich gekaufte Bewertungen) und das die „seriösen“ News-Sites keine Artikel-Update machen.
    Jornalismus kennzeichnet sich meiner Meinung durch valide / fundierte Berichterstattung / Quellen und Aktualität der Berichte aus.
    Manche Artikel lesen sich wie Werbe -Texte/Blogs anstatt wirklich informative Artikel.

    Zur E2EE kann man aus dem Artikel von Nexus klar erkennen das es niemals eine gab, daher konnte (in Zukunft wohl auch) hier auch nie von Aktiv- auf Inaktive-Verschlüsslung geschalten werden.

    Erwähnenswert ist noch die Tatsache das die Server bereits mehrere male gehackt wurden und Daten (Telefonnummern, Nicknames und Geburtstage) der User abhanden gekommen sind. Die Reaktion Seitens BubCon Media war lächer: Man nahm es einfach mit Humor….. was letzten Endes mit den Daten passiert weiss keiner.

    Zustimmend kann ich nur bestätigen das BubCon Media keinerlei Ahnung von Kryptographie hat, dass bestätigten sie durch eine Facebook post, in dem doch wirklich die E2EE mit HTTPS gleichwertig gestellt wurde.

    Auch wenn die E2EE mit der aktuellen Version 1.2 „wieder“ Aktiviert ist bleibt ein weiteres manko im Raum, dass die Server über Amazon AWS laufen.

    Ich bin gespannt ob der CCC nochmal sich die Mühe macht die App unter die Lupe zu nehmen.

    Bis dahin…. Have Fun!

    • rotzoll sagt:

      Es ist zu hoffen, dass solche schlimmen Desater-Entwicklungen schnell beerdigt werden. Dass sich Presse & Co. nicht wirklich mit der Materie auseinander setzt und das tolle blahblah der Pressemitteilung weitersülzt, ist leider auch üblich.
      Ich hoffe nur, dass ich nie jemanden „erwische“, der dieses gruselige Stück Software tatsächlich einsetzt. Schlimm genug, dass die Leute Facebook und WhatsApp nutzen ohne nachzudenken…..

      Ob bei der angeblich aktivierten Ende-zu-Ende Verschlüsselung überhaupt anständig verschlüsselt wird, wage ich ebenfalls weiterhin zu bezweifeln. Ich würde wetten, dass kein Augenmerk auf Perfect Forward Secrecy (PFS) gesetzt wurde…..

      Die Bewertungen zeigen aber auch, dass a.) diese gekauft wurden (was ja leider üblich ist) oder b.) die Leute wirklich abgestumpft sind. Jahrelanger Facebook und WA Nutzung sei Dank…

      Hoffentlich wird noch mal ein wenig hinterleuchtet, dass dort nun an Software auf den unwissenden Nutzer losgelassen wird.

      Gruß,
      Malte

  2. Thomas Neumo sagt:

    Also Ich habe mir das jetzt mal alles durchgelesen und muss ehrlich gesagt einfach nur lächeln:)

    Ich bin zwar nicht aus dem Fachbereich der Software-Entwicklung mache aber so etwas in der Richtung nebenberuflich.

    Es gibt Weltweit Tausende verschiedener Apps und Programme die wirklich erfolgreich sind.. Wenn man sich deren Entwicklungs-geschichte mal genauer ansieht, dann sieht mit was für Hürden diese Unternehmen zu kämpfen hatten.. und wie oft sie hingefallen sind..

    Ich habe mir durch Zufall Bubcon so September letzten Jahres runtergeladen und ehrlich gesagt nur just for fun mal angesehen.. mit paar freunden ausprobiert..
    Ich nutze Bubcon nicht weil die meisten meiner Freunde bei Telegramm sind..

    Dennoch war ich durchgehend so Zwei mal im Monat mal immer wieder in dieser App drin.. und muss eines sagen.. Die Entwickler schlafen nicht.. es kam bisher fast jedes mal wenn ich mich eingeloggt habe eine Optimierung oder update raus..

    Ich nutze gerade das S8 und muss sagen das ich App schon echt beeindruckend drauf aussieht.. Auch sind laut den Updates wohl jetzt alle Sicherheitslücken geschlossen worden..

    Mein Fazit ist ganz einfach.. Ob ich Bubcon jemals nutzen werde, kann ich nicht sagen.. das hängt ja letztendlich auch davon ab wieviele meiner freunde etc. es nutzen möchten.. Aber die Entwicklung werde ich weiterhin mit Interesse verfolgen.. meiner Meinung nach ist nämlich genau das der Richtige weg zum Erfolg.. Sich nicht durch Fehler oder Problematiken aus dem rüder bringen lassen.

    Gruß,
    Thomas

  3. Anna Rose sagt:

    Ich schließe mich einerseits Martin Müller an, andererseits fällt es mir sehr schwer diesen Kommentar so richtig zu verstehen..

    Wenn man etwas analysiert, sollte man Wertungsfrei schreiben..
    Zitat: („Bewertungen wohl gekauft“) („…in Zukunft wohl auch nicht“)

    Es lässt halt deshalb die Vermutung offen das es sich eher um unfaire Kritik handelt..
    Ich habe mir den Messenger ehrlich gesagt garnicht runter geladen.. aber wenn hier schon Update Kommentare darüber geschrieben werden.. sollte man sich vielleicht ansehen das zwischen der hier diskutierten Version „laut Playstore“ und der Aktuellen 250 Versionen vergangen sind ( 1.3.255)

  4. Martin Müller sagt:

    Hi rotzoll,
    Ist eigentlich noch was rechtliches Passiert?
    Schade das sich so ein junges Startup der Maßen falsch verhält und neutrale und sachliche Artikel verbieten will, anstatt etwas gegen die Fehlerquelle zu unternehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*