Privacy im Signal-Messenger hinfällig bei Benutzung von konventionellen Android-Keyboards?

[Cinematic]

Tastaturen wie SwiftKey und GBoard (die Google-Tastatur) synchronisieren alle Eingaben in der Cloud, um intelligente Wortvorschläge auf allen Geräten zu unterstützen etc.
D.h. wenn ich mit GBoard in Signal chatte, weiß Google nicht mit wem ich schreibe und was derjenige antwortet, aber dennoch bekommt Google sämtliche meiner eigenen Nachrichten mit, korrekt?
Und sofern mein Gesprächspartner auch GBoard verwendet, ist es vermutlich ein leichtes Spiel, dass Google die Tastatureingaben als eine zusammenhängende Konversation erkennt und analysiert.
Da wohl sehr häufig mindestens einer von beiden Gesprächsteilnehmern seine Kontakte in der Cloud synchronisiert, weiß Google über den Kontakt bescheid.

Aber selbst wenn ich nun eine Offline-Tastatur nutze, wie sicher kann ich mir sein, dass Android die Tastatureingaben nicht trotzdem ausliest? Schließlich ist Android Closed-Source und man hat keine Möglichkeit zu wissen was genau Android alles so ausliest und ins Netz sendet, oder? (Gehen wir erstmal nur von Stock-Android aus, und nicht von Custom ROMs wie CalyxOS, GrapheneOS o.Ä.)

Bei meiner Recherche fand ich folgenden Beitrag:

There's no risk in using the keyboard that came with your phone. The manufacturer (or custom ROM author) has full control over all the software on your phone. If they want to read everything you type, they can do that whatever keyboard you use. If you don't trust the OS vendor, you can't trust the device at all.

Quelle

Dieser zitierte Kommentar stammt von einem User mit 34k Reputation auf stackexchange.com, scheint also technisch sehr versiert zu sein. Was denkt Ihr dazu? Hat man selbst in Signal nur noch eine "gesicherte" Privacy, wenn man eine Open Source Custom ROM mit Offline-Tastatur nutzt und dies auch beim Gesprächspartner der Fall ist?

 

[Nero_XY]

Signal hat unter Android die Option den "Incognito Modus" der genutzten Tastatur anzufordern. Wie dieser Implementiert ist, kommt natürlich immer auf die verwendetet Tastatur an. Im Fall des GBoards sagt Google zumindest das in diesem Modus keine Daten an Google übertragen werden.
Ob du nun dieser Aussage vertraust, oder nicht, ist deine Sache. Wenn du Google aber grundsätzlich mistraust, solltest du sowieso ein google-freies Custom ROM nutzen. Denn der von dir zitierte User hat absolut Recht, wer Kontrolle über das OS des Geräts hat, kann theoretisch alle Daten extrahieren die er gerne hätte

 

[SoDaTierchen]

Du hast die Quelle missverstanden. 100% privacy hast du nie. Selbst wenn du dich mit deinem Gesprächspartner in eine fensterlose Raumkapsel beförderst und 2 Lichtjahre weit weg fliegst, kannst du dir nicht sicher sein, dass nicht jemand zufällig vorbeifliegt und mit ner IR-Kamera eure Lippen liest.

Es geht nicht darum, 100% privacy zu erreichen, sondern ob du deinem Gerät bzw. dem Hersteller vertraust. Und wenn du dem Gerät nicht vertraust und darüber keine Konversationen führen willst, dann nutze das Gerät nicht. Zusätzliche Hardware verbessert dein Vertrauen zum Gerät nicht, denn selbst mit einem Custom-ROM gehen die Hardware-Eingaben immernoch über dasselbe Gerät und seine Firmware.

 

[Cinematic]

Okay verstehe, Danke. Also ich möchte keine 100% Privacy, aber eben soviel Privacy wie möglich, mit einem vertretbarem Aufwand.
Und mit Offline-Tastatur meinte ich keine Hardware-Tastatur, sondern eine Tastatur, die keine Berechtigung für den Netzzugriff hat (z.B. AnySoftKeyboard).

Ich habe ein Pixel 3a. Angenommen ich nutze das vorinstallierte Android und eine Offline-Tastatur.
Wie hoch würdet ihr das Risiko einschätzen, dass Google meine Eingaben in Signal ausspioniert?

Und dieselbe Frage nochmal, aber diesmal mit CalyxOS.

 

[Nero_XY]

Wie hoch würdet ihr das Risiko einschätzen, dass Google meine Eingaben in Signal ausspioniert?

Gering. Google ist ne große Firma und will sich normalerweise nicht mit solchen Sachen den Ruf ruinieren.
(Auch wenn sich große Firmen (inkl. Google) in letzter Zeit öfters mal nach dem Motto verhalten "Ist der Ruf erst ruiniert, lebt es sich ganz ungeniert...")

 

[GrumpyCat]

nicht mit solchen Sachen den Ruf ruinieren

Dank GDPR geht es dabei nicht nur um den Ruf, sondern ggf. um richtig Geld. Und dann spuren auch die großen Firmen durchaus.

 

[knoxxi]

die keine Berechtigung für den Netzzugriff hat

Dann entzieht ihr doch im Zweifel die notwendigen Rechte dafür!? Sollte unter Android doch machbar sein.

 

[Wilhelm14]

Tastaturen wie SwiftKey und GBoard (die Google-Tastatur) synchronisieren alle Eingaben in der Cloud, um intelligente Wortvorschläge auf allen Geräten zu unterstützen etc.

Auch wenn das naiv klingt, tut Google das wirklich? Man kann ja das gelernte Wörterbuch deaktivieren, Nutzungsstatistik an/aus, Personalisierung an/aus, Spracheingabe für alle verbessern, an/aus,...
Und das soll auf dem Gerät stattfinden.
https://support.google.com/gboard/answer/9334583?hl=de

Und ja, man muss vertrauen. Mittlerweile habe ich das Gefühl, dass gerade die vermeintlich sichereren Alternativen zu den großen Firmen sogar attraktiver für Angreifer sind. Aktuell siehe Tor-Browser.
https://heise.de/-6286564
https://heise.de/-6286784

 

[Nero_XY]

Dann entzieht ihr doch im Zweifel die notwendigen Rechte dafür!? Sollte unter Android doch machbar sein.

Geht meines Wissens ohne extra installierte Firewall nicht. Netzzugriff ist keine extra Berechtigung die Apps anfordern müssen. Das einzige was man deaktivieren kann, sind mobile Hintergrunddaten.

 

[knoxxi]

Hmm okay. Gut zu wissen, danke. @Nero_XY

 

[SoDaTierchen]

Wie hoch würdet ihr das Risiko einschätzen, dass Google meine Eingaben in Signal ausspioniert?

Eher sehr gering. Deine Gespräche bringen Google nichts, außer im Zweifel eine sehr kostspielige Datenschutzklage. Häufigkeiten von bestimmten Worten schon eher, daraus lassen sich gute Werbeziele ableiten und das lässt sich ausreichend anonymisieren, sodass daraus keine Gespräche rekonstruierbar sind.

Und dieselbe Frage nochmal, aber diesmal mit CalyxOS.

Damit verschiebst du das Problem: Traust du den Machern von CalyxOS mehr zu als Google? Die Frage gilt auf 2 Ebenen:

• Glaubst du Ihnen, dass Ihnen Datenschutz wichtiger ist als Google?
• Falls dem so ist, traust du dem kleineren Team zu, dass sie Datenschutz und Sicherheit technisch besser umsetzen können als Google?

Du stellst leider wirklich eine Vertrauensfrage. Die ist gar nicht so einfach zu beantworten.