Struktur des Blogs
- Allgemeines
- Apples Tastaturdatensammelei (Differential Privacy)
- Googles Tastatursammelei (Federated Learning)
- Fazit
Datenschutz und Tastatur. Hm. Darüber habe ich mir lange Zeit keine Gedanken gemacht. Irgendwie war das nicht auf meinem Radar.
Erst seit ich GrapheneOS auf meinem Handy habe, mein erstes und bisher einziges Android, habe ich mich mit dem Thema beschäftigt.
Auf meinem GrapheneOS Handy habe ich zwei Probleme vorgefunden.
- Ich habe sehr viel mehr Tippfehler gemacht, als auf meinem alten iPhone.
- Ich habe keine datenschutzfreundliche Spracheingabe gefunden.
Beides hat dazu geführt, dass ich weniger getippt habe und dabei mehr Ärger beim Tippen hatte. Auf einem Handy permanent Fehler zu korrigieren nervt.
Punkt 2 habe ich mittlerweile gelöst, mit Futo oder Sayboard kann man schon einiges erreichen.
Für ersteres habe ich gelernt, dass man die Tastatur-App auf Android durch andere austauschen kann. Als ich das wollte, habe ich gelesen, dass manche der Drittanbieter-Tastaturen nach Hause telefonieren. Autsch. Das war mir nicht bewußt.
Die Tastatur ist super wichtig. Neben der Tipperei auf Icons tippen wir am meisten auf die virtuelle Tastatur. Das ist keine physische, sondern einfach eine App. Vieles, was wir tippen, ist privat. Denken Sie an Ihr WhatsApp oder Threema. Sie schreiben mit den Liebsten und gehen davon aus, dass alles Ende-zu-Ende verschlüsselt ist. Was hilft das, wenn jeder Tastendruck von der Tastatur an einen Server im Internet gesendet wird?
Zeit, zu recherchieren.
Apple
Tatsächlich senden Apple und Google Informationen nach Hause, wenn wir die Tastatur benutzen. Apple verwendet dabei etwas, dass sie „Differential Privacy“ (DP) nennen. Ein guter Artikel zur Einführung kommt mal wieder vom heise-Verlag.
Benutzer müssen dem Zustimmen, aber können das nicht von anderen Analysedaten trennen. Entweder, Sie erlauben alle Daten zusammen an Apple zu senden, oder keine. Nur die Tastatur zu verbieten, das geht nicht. Die entsprechende Einstellung finden Sie unter Einstellungen-Datenschutz & Sicherheit-Analyse & Verbesserungen. Schalten Sie dies aus.
Wie wir in einem vorherigen Artikel gelernt haben, ignoriert Apple diese Einstellung, für die eigenen Apps. Ob die Tastatur dazu gehört, läßt sich nicht sagen. Schalten Sie die Analysesammlung trotzdem aus, andere Möglichkeiten haben Sie leider bei diesem System nicht. Apple wird auch ohne all Ihre Daten auskommen.
DP bedeutet, Apple sendet nicht jeden Tastendruck, so wie sie tippen, an Apple, sondern fügt dazwischen zufälligen Text ein. Praktisch ist es ein etwas komplexeres mathematisches Modell, das Apple nicht offenlegt. Das soll in einer Weise geschehen, die Muster erkennt und daraus lernen kann, um den Dienst zu verbessern, ohne daraus aber einen Rückschluss auf das Verhalten eines einzelnen Nutzers zu ermöglichen. Hm, da der Laden mein Vertrauen immer mehr verloren hat, heißt es, glauben oder nicht. Spätestens mit der Verwendung von KI könnte ich mir vorstellen, dass Apple alles, was ich tippe und wie ich es tippe auswerten und rekonstruieren kann. Auch aus den modifizierten Daten.
Es gibt dabei zwei Extreme zu beachten: Entweder, gar keine Privatsphäre, Apple erhält also alles, was Sie schreiben, so wie Sie es schreiben, oder aber totale Privatsphäre, Apple kann gar nichts mehr erkennen (warum dann noch an Apple senden?). Es braucht einen Kompromiss.
Um zu beschreiben, wie stark Ihre Privatsphäre geschützt ist oder nicht, gibt es in diesem mathematischen Modell den sog. Privacy Loss Parameter (Abkürzung: epsilon), der bestimmt, wie viel Spezifität ein Datensammler bereit ist zu opfern, um die Geheimnisse seiner Nutzer zu schützen. 0 bedeutet, total geschützt, eine sehr grosse Zahl bedeutet, sehr viel Daten gehen erkennbar weg.
Die meisten Sicherheitsgurus sind der Meinung, das ein Wert zwischen 0-1 gut und ausreichend ist. Eine Studie (🇬🇧PDF) der University of Southern California mit dem vielsagenden Titel “Privacy Loss in Apple’s Implementation of Differential Privacy on MacOS 10.12” zeigt den Weg. Unter iOS soll es noch schlimmer sein. Ein menschenverständlicher Bericht (🇬🇧) auf Wired erklärt das besser.
Laut der Studie kommt bei Apple ein epsilon=14 zum Einsatz, also werden die Daten sehr viel einfacher wieder rekonstruierbar und die Privatsphäre ist schlecht.
Zum Vergleich: Der andere große Akteur in der Welt des differenzierten Datenschutzes ist Google, dessen differenziertes Datenschutzsystem für Chrome als RAPPOR (Randomized Aggregatable Privacy-Preserving Ordinal Response) bekannt ist. Laut Googles eigener Analyse (PDF🇬🇧) hat dieses System ein Epsilon von 2 für alle an das Unternehmen gesendeten Daten und eine Obergrenze von 8 oder 9 für die gesamte Lebensdauer des Nutzers. Google sagt also, maximal 9 und sie sind bekannte Datensammler. Apple verwendet 14 und erzählt allen, dass sie die Privatsphäre schützen. Widersprüchlich. Wie so oft kommentiert Apple das nicht und dokumentiert es auch nicht. Das macht es Sicherheitsforschern schwerer und wirft die Frage auf: Warum?
Für die Interessierten, hier ein Apple Link wie Sie das angeblich stoppen können.
Kommen wir zur eben genannten anderen Datensammelfirma, Google.
Bei Google heißt die Tastatur Gboard. Bei Pixel Telefonen ist das Standard, Samsung und andere bieten ggf. eigene Tastaturen an. Der Benutzer kann Gboard aber aus dem Google Play Store laden und anstelle der vorinstallierten Tastatur einsetzen.
Auch Google sammelt über die Tastatur Daten. Doch sie verwenden in diesem Fall nicht DP sondern „Federated Learning“. Dabei wird ein KI Modell auf das Gerät geladen, dass das nächste Wort, das Sie eingeben wollen, vorhersagen soll. Es lernt also von den Eingaben des Nutzers auf dem Telefon und sendet dann die Veränderungen an Google, anstelle der Rohdaten, die der Nutzer getippt hat. Das klingt gut, zumindest besser als bei Apple, weil die Rohdaten niemals das Handy verlassen. Jedoch gibt es eine Studie die zeigt, dass selbst aus diesen Daten die Rohdaten rekonstruiert werden können. Die Wörter, die ein Nutzer tippt und die Reihenfolge, in der er sie getippt hat, können mit einer sehr hohen Genauigkeit rekonstruiert werden. Damit ist die Privatsphäre des „Federated Learning“ zumindest stark gefährdet und nicht vertrauenswürdig.
Wenn Sie sich auf Exodus-Privacy anschauen, welche Rechte Gboard gerne hätte, dann halten Sie Valium parat. Dabei kann einem schon mal schlecht werden. Eine Tastatur braucht wirklich all diese Rechte? Nicht für mich.
Es ist aber möglich, immer mit der Einschränkung, dass Google die Einstellungen nicht interessieren, dieses „Federated Learning“ zu deaktivieren. Gehen Sie dazu (je nach Android Modell und Version) in Einstellungen-System-Sprache & Eingabe-Bildschirmtastatur-Gboard-Erweitert.
Deaktivieren Sie hier Nutzungsstatistik teilen, Personalisierung und Sprach- und Tastatureingabe verbessern.
Fazit
Sowohl Gboard als auch die Tastatur von iOS sind proprietäre Software. Es ist also schwierig herauszufinden, was sie wirklich treiben oder ob andere Prozesse die Daten sammeln und dann aggregiert schicken.
Achten Sie bei der Installation von Drittanbieter-Tastaturen, von wem sie kommen und welche Datenschutzregeln sie haben. Deaktivieren Sie auf Ihren Handy die entsprechenden Analyse-Einstellungen.
Android: Schauen Sie sich AnySoftKeyboard oder OpenBoard an. Ein nicht so bekanntes und neueres Tool für die Tastatur ist FlorisBoard.
Für iOS ist die Auswahl eingeschränkter. Ich kann nicht wirklich guten Gewissens etwas empfehlen. Vieles ist Closed Source und wenn man sich die Datenschutzrichtlinien anschaut, wird einem anders, z.B. das Sammeln von genauen Standortdaten.
Zum Schluss: Vielleicht macht es irgendwann für Sie Sinn, sich Gedanken über ein Betriebssystem zu machen, dass nicht alle paar Sekunden alle möglichen Daten sammelt, sie überwacht und ausspioniert und die Einstellungen, die Sie vornehmen ignoriert.