selbstständig-online-lernen-lecturio-banner

gettyimages.de

In immer mehr Bereichen und Branchen wird es immer wichtiger, sich selbstständig weiterzubilden. Vor allem schnelllebige Branchen, wie beispielsweise der komplette Webbereich in der IT, brauchen waschechte Autodidakten, die mit der verrückten Geschwindigkeit der Entwicklung Schritt halten können. Neues Wissen lässt sich auf viele Wege aneignen, das Internet bietet unzählige Quellen für informative Texte, Dokumente und Videos jeglicher Art. Aber spätestens bei hochkomplexen Themen oder einem gewissen Qualitätsanspruch hilft Youtube und Google nicht mehr weiter. Stattdessen sind gut aufbereitete, professionell vermittelte und interaktive Lernmethoden von Nöten.

An dieser Stelle setzt das eLearning Portal Lecturio an. Hier hat der Nutzer Zugriff auf über 5000 Fachvorträgen aus über 80 Themenbereichen, zusammengefasst in über 700 Kursen, die mehrere Fachvorträge vereinen. Die größten Kategorien – Business, Software, Jura und Medizin – verdeutlichen schon den Schwerpunkt des Portals. Der Fokus liegt auf professionellen und interaktiven Videos zu komplexen Wissensgebieten, bei denen die Qualität des Lernmaterials entscheidend ist. Aber auch in Kategorien wie Sprachen, Gesundheit und Freizeit finden sich schon viele Kurse mit Hunderten Vorträgen.
selbstständig-online-lernen-lecturio-kategorienselbstständig-online-lernen-lecturio-uebersicht-neu

Die Plattform besticht schon auf den ersten Blick mit einer sehr guten Übersichtlichkeit und Bedienbarkeit. Dies ist schon beim Einsteig in die Community bemerkbar; für die Registrierung wird einfach nur eine E-Mail Adresse gefordert. Noch schneller geht es direkt über Facebook oder Xing, wodurch auch direkt ein paar persönliche Informationen in das Lecturio Profil übernommen werden. Das war’s. Optionale Einstellungen lassen sich nachträglich jederzeit im Profilmenü finden und anpassen.
selbstständig-online-lernen-lecturio-registrierenselbstständig-online-lernen-lecturio-startseite

Als Dankeschön für die Anmeldung bekommt man auch direkt einen Fachvortrag für 12 Monate kostenlos spendiert. Also, direkt auf die Suche nach dem ersten Vortrag! Das Stöbern in den Kategorien, Kursen und Vorträgen ist einfach und macht Spaß. Neben den thematischen Kategorien kann man auch in den Bereichen NEU, Bestseller, Im Angebot, Flatrates und Aus der TV Werbung suchen. Die Themenkategorien lassen sich zudem nach Preis, Datum, Beliebtheit und Bewertung sortieren.
selbstständig-online-lernen-lecturio-uebersicht-sortierenselbstständig-online-lernen-lecturio-uebersicht-neu

An dieser Stelle vermisse ich jedoch, wie in so vielen Portalen, eine clevere Filterfunktion. Filtern nach Preis, Bewertung, Anzahl Vorträge, Gesamtlaufzeit, usw. Damit würde man noch schneller den richtigen Kurs für sich selbst finden. Je größer das Angebot von Lecturio wird, desto wichtiger würde ich eine solche Funktion finden.

Die Kurse sind ebenfalls übersichtlich dargestellt und alle wichtigen Informationen sind schnell erfasst. Ein Kurs ist eine thematisch-passende Kombination aus mehreren Fachvorträgen. Wenn es sehr viele Vorträge sind, werden diese oft in Vortrag-Sets zusammengesetzt. Es gibt auch Kurs-Pakete, in denen mehrere passende Kurse mitsamt aller Inhalte verfügbar sind. Alle diese Komponenten können als Ganzes oder einzeln gekauft werden. Der User kann also sehr genau seine gewünschten Inhalte heraussuchen. Jedoch ist man preislich eigentlich immer am besten dran, das größte Komplettpaket zu kaufen. Ein Kauf ist immer auf mindestens 12 Monate verpflichtend. Der Betrag kann als monatliches Abo oder Einmalzahlung (welche etwas günstiger ist als das Abo) gekauft werden.
Nach Ablauf der 12 Monate kann der Inhalt für 33% des originalen Monatspreises behalten werden.
selbstständig-online-lernen-lecturio-kaufoptionen-bezahlungselbstständig-online-lernen-lecturio-kaufoptionen

Obwohl das System so flexibel ist, muss ein Kauf immer für 12 Monate getätigt werden. Hier sehe ich eine große Schwachstelle. Es gibt auch Kurse mit 1-5 Vorträgen, mit nur einigen Minuten bis wenigen Stunden Material. Es ergibt für mich keinen Sinn Inhalte, die ich an einem Tag durcharbeiten könnte, für 12 Monate zu kaufen. Hier sind entweder Centbeträge nötig (ein 30-minütiger Vortrag sollte mich nicht 30€ kosten…) oder irgendeine Möglichkeit, auch Käufe für kürzere Zeiträume zu tätigen.

Die Fachvorträge werden in einem extra entwickeltem Player wiedergegeben. Der Player ermöglicht gewisse Interaktionen. Damit diese genutzt werden können, müssen die Vorträge von professionellen Personen extra für die Plattform aufbereitet und aufgenommen werden. Es gibt 2 Videobereiche und eine Kapitelübersicht, Folienwechsel werden in der Zeitleiste mit einem roten Strich markiert und mit Pfeiltasten kann schnell und einfach durch das Video gesprungen werden. Oftmals sind in einem Vortrag kleinere Quizfragen eingebaut, um das Gehörte zu testen. Fullscreen und HD optimieren die Ansicht bei kleinteiligen Videoinhalten wie Softwarescreenshots.
selbstständig-online-lernen-lecturio-player-quizfragenselbstständig-online-lernen-lecturio-vortrag-player

Natürlich dürfen mobile Apps nicht fehlen, lange Fahrten gehören für viele Menschen schon zum Arbeitsalltag und das Lernen bietet sich da ja an. Die Android App ist absolut minimalistisch aufgebaut; es gibt eigentlich nur den Punkt „Meine Inhalte“. Dort werden Kurse und Vorträge angezeigt und können gestartet werden. Der Player besteht hier aus einem einfachen Videofenster und einer Inhaltsübersicht, die beim Klick zu der entsprechenden Stelle im Video springt. Alles sehr einfach zu bedienen, kein Spielkram und verrückte Extras.

selbstständig-online-lernen-lecturio-android-app-meine-inhalteselbstständig-online-lernen-lecturio-android-app-kursselbstständig-online-lernen-lecturio-android-app-player

Leider hat die App noch viele Einschränkungen und Macken. Die Wiedergabe des Videos stoppt, wann immer die App nicht mehr aktiv im Vordergrund sichtbar ist. Sei es durch Wechsel in eine andere App oder Ausschalten des Bildschirms, schon ist Ruhe. Nach dem Zurückwechseln zur Lecturio App wird das Video mühsam erneut geladen, was recht lange dauert. Außerdem kommt es dann zu 90% vor, dass zwar der Ton weiterläuft, aber das Video hängen bleibt. Dann muss man den Kurs erst komplett verlassen um ihn dann wieder neu zu öffnen und an die Stelle zu springen, wo man war. Ein nerviger Fehler. Also wer die App verlässt oder den Bildschirm ausgehen lässt hat Pech gehabt und muss vermutlich den Kurs komplett neu starten, das geht natürlich gar nicht.
Außerdem wäre es extrem attraktiv die Kurse vorladen zu können. Nicht jeder hat genug Traffic unterwegs die Kurse einmal oder gar mehrfach zu laden. Also das Offline-Verfügbar-Machen von Kursen, beispielweise aus einem WLAN heraus, würde dem Datenverbrauch zugute kommen (man bräuchte einfach mal gar kein Internet mehr, auch gut für Zugfahrten), sowie die langen Ladezeiten verschwinden lassen.
Also hier bitte bitte weiter dran arbeiten, unterwegs lernen sollte möglich sein.

Fazit: Lecturio bietet ein umfangreiches Komplettpaket für das autodidaktische Lernen von zu Hause oder unterwegs. Webseite und Portal sind von hoher Qualität und schaffen eine fast makellose Nutzererfahrung. Die Auswahl der Lerninhalte ist bereits groß und wächst stätig. Mit den Kursen, die im Angebot sind, kann man auch ziemlich gutes Wissen für wenige Euro abgreifen, wenn man regelmäßig vorbeischaut. Auch das Portal wird ständig weiterentwickelt. Allein während ich diesen Artikel schrieb veränderten sich kleine Details und Funktionen, es wird also fleißig gearbeitet. An den Apps kann man sicher noch etwas arbeiten, damit dort neben den eigenen Inhalten auch etwas mehr machbar ist. Lecturio wird im eLearning Bereich sicher auch in Zukunft eine große Rolle spielen; vorerst als Top Player in Deutschland und auf dem guten Wege zum Top Global Player.

threema-vs-telegram-article-whatsapp-banDie Diskussion ist groß, zu welchem Messenger soll man bloß wechseln, nach dem Verkauf von Whatsapp an Facebook?? Nur in einer Sache sind sich viele seitdem einig: weg von Whatsapp, zumindest so gut es geht. Auch ich versuche die Sicherheit meiner Chats nach diesem Ereignis zu erhöhen, und habe mich mit den 2 Messenger Alternativen Threema und Telegram beschäftigt.
Anmerkung: Die folgende Punkte folgen keiner bestimmten Sortierung. Die Threema Fakten und Daten sind zusammenrecherchiert, teilweise bestätigt von Threema Nutzern. Ich hab diese App noch nicht gekauft und kann daher nicht aus erster Hand berichten.

threema-vs-telegram-article-logo


threema-vs-telegram-threema-icons

Threema

threema-vs-telegram-threema-kaufen

+Erstellung eines persönlich-zufälligem Schlüssels mittels Bewegungen, die man in einem Feld bei der Einrichtung machen muss. Also kein system-generierter Schlüssel. Ob das jetzt so viel bringt, da User-Zufall vs System-Zufall immernoch Zufall ist, bleibt auszudiskutieren 😉 Ergänzung: Es ist doch ein positiver Punkt, Computer-Zufallsgeneratoren haben nicht gerade den besten Ruf, hier nur ein Beispiel.
+threema-vs-telegram-threema-security-statusSichere Verbindungen zwischen 2 Teilnehmern werden durch sichere QR-Codes und deren Einscannen der zweiten Person erstellt. Damit kann keine Manipulation beim Erstellen des sicheren Chats erfolgen, da keine Datenübertragung übers Netz erfolgt. Die verschiedenen Sicherheitsstufen werden eindeutig visualisiert.
+Verschlüsselung mit Open Source Bibliothek NaCl, die als sicher gilt
+threema-vs-telegram-threema-security-pinEs kann eine PIN vergeben werden, die beim Öffnen der App nach einer bestimmten Zeit bzw. nach einem Neustart des Telefons eingegeben werden muss. Außerdem kann ein Hauptschlüssel definiert werden, mehr dazu in der hier.
+threema-vs-telegram-threema-security-backupEs können Backups erstellt werden. Diese enthalten die eigene ID, Chats, Kontakte und auf Wunsch auch die Mediendaten. Die Backups müssen mit einem Passwort mit mindestens 8 Zeichen verschlüsselt werden und liegen dann als ZIP Dateien auf dem Speichermedium.
#Hinzufügen neuer Kontakte via ID/Telefonnummer und QR Code von Hand. Die App hat nach dem Einverständnis des Nutzers Zugriff auf das Telefonbuch. Aber auch beim Verweigern des Zugriffs kann die App weiter benutzt werden. Kontaktdetails werden nur in pseudonymisierter Form abgespeichert.
#Laut AGB werden die Daten aus dem Adressbuch pseudonymisiert an die Threema Server übertragen.
Von der Verschlüsselungsbibliothek abgesehen 100% closed source, Kommunikation läuft über Schweizer Server. Der Entwickler sagte kürzlich: „Momentan haben wir keine konkreten Pläne für externe Audits; falls sich aber etwas mit einer geeigneten Instanz zu akzeptablen Bedingungen ergibt, sind wir nicht grundsätzlich abgeneigt.“ (Quelle) Das macht alles natürlich sehr skeptisch.
kostet 1,60€

threema-vs-telegram-telegram-icon

Telegram

threema-vs-telegram-threema-install

+kostenlos
+threema-vs-telegram-telegram-web-editionViele inoffizielle Apps für Windows, Mac, Linux, Chrome und Windows Phone. Wie Beispielsweise Webogram, ziemlich cool. Telegram merkt sogar, wenn Zugriffe außerhalb der App erfolgen und informiert sofort (siehe nächster Punkt). Das Open Source erfreut die Entwickler- und Fangemeinde und wird in Zukunft sicher noch mehr Apps, Widgets und Gadgets hervorbringen. Wobei es schwer zu urteilen ist, inwiefern die Sicherheit bei diesen Apps noch gewährleistet ist. Aber eine große Community ist eher ein Pluspunkt.
+threema-vs-telegram-telegram-account-access-notificationSollte Telegram einen Zugriff von außerhalb der App feststellen, wird direkt eine Nachricht an den Nutzer geschickt. Dieser hat über die Einstellungen die möglichkeit alle aktiven Verbindungen zu der eigenen Telefonnummer zu beenden.
+threema-vs-telegram-telegram-self-destruct-timerSelbstzerstörungsmechanismus in sicheren Chats für besonders kritische Nachrichten. Zerstört Nachrichten nach einer angegebenen Zeitspanne automatisch sowohl beim Sender, als auch beim Empfänger.
#Teilweise Open Source, mehr und mehr Code soll noch veröffentlicht werden. Also keine geheimen Hintertürchen, die auf Befehl irgendwelcher Regierungen unter dem Deckmantel irgendwelcher Geheimgesetze eingebaut werden können, ohne, dass es auffällt (ein wenig gutgläubig gedacht…). Da noch nicht komplett offen, bis jetzt ein neutraler Punkt.
#Verschlüsselung mit MTProto. AES256, RSA2048 und Diffie-Hellman, klingt für mich „sicher“, aber es gibt angeblich einige Probleme mit der Sicherheit. So zum Beispiel, dass der per SMS zugeschickte Bestätigungscode gar nicht eingegeben werden muss, was bei mir tatsächlich auch so war. Warum auch immer. $200k stehen aktuell als Belohnung aus, sollte jemand diesen Mechanismus knacken können. Kann also nicht als ganzer Pluspunkt angesehen werden.
#Kommunikation läuft über russische Server, ob das positiv oder negativ ist, kann jeder selber entscheiden
#Benutzer, die Telegram schon haben, stehen direkt in der Kontaktliste, alle nicht-Nutzer kann man einladen. Die App hat also Zugriffsrechte auf die Kontaktliste und das ohne die Zustimmung des Nutzers zu erfragen. Die Adressbuchdaten werden jedoch nicht an den Server übertragen.
Das Löschen des Profils mitsamt aller Daten soll nicht besonders transparent gestaltet sein. Die AGB und Datenschutzerklärung erläutern nicht eindeutig, welche Daten gelöscht werden und welche verbleiben, wenn man sein Profil löscht. Zudem gibt es eine Seite, die dem Deaktivieren/Löschen eines Accounts dient. Auf dieser steht aber immerhin: „Note that if you delete your account, all your messages, groups and contacts will be deleted beyond retrieval. This is a one-way trip.“. Negativer Punkt, da hier wohl zu wenig Klarheit herrscht.

Fazit

Ich hoffe niemand erwartet hier von mir eine eindeutige Entscheidung, einen Sieger, der ultimative Messenger: wenn doch, den gibt es nicht. Beide Apps haben ihre Vorzüge und Nachteile. Beide tragen immens dazu bei unsere Kommunikation sicherer zu gestalten. Welche App sich in Deutschland und weltweit besser behaupten wird, wird die Zeit zeigen. Solange kann jeder selber entscheiden, ob er eine der beiden Apps, beide oder gar keine nutzt.
Ich für meinen Teil nutze zum Zeitpunkt der Artikelveröffentlichung nur Telegram, bin aber kurz davor auch Threema zu kaufen.

Quellen: via, via, via

Regelmäßige Backups sind Pflicht überall im IT Bereich. Das Smartphone übernimmt immer mehr Aufgaben in unserem Alltag und enthält immer mehr wichtige Daten. Die Sicherung der Smartphone Daten sollte regelmäßig erfolgen.

Zum Beispiel mit JS Backup. Die Android App ist besonders einfach zu bedienen und sichert manuell oder regelmäßig das komplette System inklusive Anwendungen, Bilder, Videos und Musik. Also eigentlich alles, was man braucht.
js-backup-android-fulll-backup-details js-backup-android-fulll-backup-overview

Gesichert werden viele Komponenten des Systems wie zum Beispiel Kontakte, SMS/MMS, Systemeinstellungen, Kalendereinträge; und mehr. Dabei kann JS Backup die Daten nicht nur lokal speichern sondern wahlweise auch direkt in der Dropbox, Google Drive oder SugarSync. Dabei werden die Daten als lesbare csv Dateien in einer .zip gespeichert, sind also auch ohne die App einseh- und lesbar. Für die Sicherung von Bildern, Videos und Musik muss eine aktive WLAN Verbindung bestehen; die Sicherung des Systems erfolgt immer und zwar recht flink.
js-backup-android-fulll-backup-system js-backup-android-fulll-backup-process

Auch die Anwendungen können selektiv für ein extra Backup ausgewählt werden. Aus irgendeinem Grund sind die Sicherungen der Anwendungen und des Rests nicht in einem Rutsch möglich. Irgendwie soll es auch möglich sein, die gesicherten Daten und Anwendungseinstellungen im Browser über einen Backup Server zu betrachten und zu verwalten, das habe ich noch nicht so recht geschafft. Die Wiederherstellung erfolgt so einfach und schnell wie die Backups.
js-backup-android-fulll-backup-apps js-backup-android-fulll-backup-restore

Fazit: diese App ist einfach, übersichtlich und sichert ohne Root Rechte praktisch das komplette System, sowohl lokal als auch in der Cloud. Daumen hoch für diese kostenlose Android Perle.

Was ist heutzutage besonders nervig und trifft immer mehr Menschen? Die (teils extrem) kurze Akkulaufzeit von Smartphones! Viele Apps versprechen Abhilfe und längere Akkulaufzeiten. Stattdessen kann es passieren, dass die Akkulaufzeit nicht spürbar verlängert wird und zusätzlich unangenehme Nebeneffekte auftreten. Vor allem die Netzwerkfunktionen (mobiles Netzwerk, WLAN, VPN), Bluetooth, GPS und NFC verbrauchen einiges an Strom und werden deshalb von manchen Apps beeinträchtigt.
Einige einfache Tipps können die Akkulaufzeit auch schon stark erhöhen ohne ungewollte Störungen mitzubringen. Die Punkte sind nicht sortiert, einfach nur zusammengetragen.

Hinweis: Wenn ich im Pfad zu einer bestimmten Einstellung Klammern benutze, liegt das an der unterschiedlichen Menüstruktur verschiedenster Android UIs. Manchmal sind die Menüpunkte auch anders benannt oder vielleicht in anderen Menüpunkten eingebettet. Die Menüpfade müssen also nicht bei jedem Smartphone zu 100% stimmen.

  • stromsparen-android-tipps-statt-apps-akkuverbraucherAndroidnutzer erhalten einige Statistiken über Akkustatus und -verbraucher in den Einstellungen -> Power (Akku) -> Akkuverbrauch.
    In den meisten Fällen wird die Bildschirmhelligkeit ganz oben stehen, oftmals mit großem Abstand zu anderen Verbrauchern.
    Daher als ersten Tipp: achtet auf eure Bildschirmhelligkeit! Wenn euer Smartphone automatische Bildschirmhelligkeit stromsparen-android-tipps-statt-apps-automatische-helligkeit anbietet, solltet ihr das unbedingt nutzen. Ansonsten manuell: je dunkler das Display, desto geringer der Akkuverbrauch. In dunklen Räumen gleich runterstellen, in hellen Räumen so hell einstellen, dass ihr gerade so gut sehen könnt.
    Dafür eignet sich das Helligkeits-Widget, stromsparen-android-tipps-statt-apps-helligkeitswidgetmit welchem man schnell zwischen 3 Helligkeitsstufen wechseln kann.
  • Display Timeout runterstellen. Wenn das Display nach 15 bis 30 Sekunden automatisch ausgeht, spart das auf Dauer sehr viel Akkupower. Einzustellen unter Einstellungen -> Anzeige -> Display-Timeout/Ruhezustand. Ebenso ist es empfehlenswert nach der Benutztung des Smartphones das Display per Druck auf die Power Taste direkt in den Ruhezustand zu schalten, anstatt es vom Timeout abdunkeln zu lassen. Diese zwei kleinen Hinweise summieren sich über den Tag enorm.
  • stromsparen-android-tipps-statt-apps-widgetsAnimierte Bildschirmhintergründe sind wahre Stromfresser, deaktivieren! Einfache Hintergrundbilder taugen auch. Ein einfaches schwarzes Hintergrundbild spart am meisten. Ebenso animierte Widgets, die mit tollen Animationen beispielsweise das Wetter anzeigen. Vor allem Social Widgets, die neben Animationen auch die Netzwerkverbindung belasten. Weg damit.
  • Gerade nicht benötigte Features, wie Bluetooth, WLAN, GPS, Synchronisierung, mobiles Netzwerk, Hotspot usw deaktivieren. Aktiviert die Dienste nur, wenn ihr sie gerade benötigt. Das erhöht neben der Akkuleistung auch die Sicherheit des Geräts.
  • Gerade nicht benötigte Apps beenden. Viele Apps bleiben im Hintergrund offen, da sie beim Druck auf die Home Taste nicht beendet, sondern nur „pausiert“ werden. Es gibt mehrere Möglichkeiten diesen Stromfresser entgegenzutreten: entweder schließt man die Apps selbstständig regelmäßig oder man installiert sich automatische Taskkiller, wie beispielsweise den kostenlosen Advanced Task Killer.stromsparen-android-tipps-statt-apps-letzte-apps-loeschen Manuell beenden geht über den letzte-Apps-Manager; auf vielen Smartphones über den htc-last-apps-button Button erreichbar, bei manchen Modellen durch längeren Druck auf die Home Taste, meistens aber auch über die Einstellungen -> Apps/Anwendungen -> „Nur ausgeführte“ listet alle aktiven Programme. Schließt vor allem große Programme wie Spiele ordentlich. Taskkiller Apps sind für diesen Job aber auch zu empfehlen.
  • Wenn das Internet mal nicht so wichtig ist gibt es 2 Stromspartipps: entweder die mobile Datenverbindung komplett deaktivieren oder den GSM statt WCDMA Netzwerkmodus einstellen. stromsparen-android-tipps-statt-apps-gsm-netzwerkmodusLetzterer aktiviert eine langsamere Internetverbindung, die aber weniger Akku benötigt als die standardmäßig aktivierte schnelle 3G/HSDPA Verbindung. Beides ist zu finden in den Einstellungen (-> Drahtlos und Netzwerke ->) Mobile Netzwerke -> Netzmodus. Manchmal steht da auch „3G-Netzwerke“ und „2G-Netzwerke“, dann zum Stromsparen hier 2G-Netzwerke einstellen. Manchmal auch „UMTS“ und „GSM“, dann „GSM“ zum Stromsparen.
  • Besseren/neuen Akku kaufen! (Nur für diejenigen, die noch ein Smartphone mit abnehmbarer Rückseite und somit austauschbarem Akku haben…) Für viele Smartphones gibt es bessere Akkus als die standardmäßig eingebauten, einfach mal nach dem Handymodell und „Akku“ googeln oder in spezialisierte Akkushops wie akkuline.de schauen.
    stromsparen-android-tipps-statt-apps-akku-kaufenBeispiel: Das HTC Desire Z wird mit einem 1300mAh Akku ausgeliefert, bei Amazon gibts für ein paar Euro einen 1600mAh Akku, also 23% mehr Leistung!
    Akkus werden mit der Zeit übrigens schwächer. Dieser Effekt ist in modernen Akkus relativ gering, trotzdem haben die meisten Smartphone Akkus nach 2 Jahren einen beträchtlichen Teil ihrer Leistung verloren. Ein neuer Akku bewirkt Wunder.

Es gab vor wenigen Tagen ein sehr wichtiges Whatsapp Update. Eine seit 2 Monaten bekannte, schwerwiegende Sicherheitslücke wurde jetzt vermutlich geschlossen.
Ich nehme das als Anlass mich mal ein wenig mit dem Thema zu beschäftigen.

Ist Whatsapp sicher??

Der folgende Beitrag ist eine persönliche Recherche, eine grobe Übersicht, kein wissenschaftlicher Vortrag. Ich bin kein Experte in dem Gebiet und habe nicht jedes Detail bis ins Tausendste recherchiert und selber getestet. Also, dementsprechend lesen 😉

Wie der Zufall es will habe ich mich vor 1-2 Monaten kurz mit der Sicherheit von Whatsapp beschäftigt.
Dabei habe ich einige Sicherheitsartikel gelesen, in denen 2 große Sicherheitslücken besonders im Vordergrund standen: das Mitlesen von fremden Whatsapp Nachrichten und das Übernehmen eines fremden Accounts.


Mitlesen fremder Nachrichten:
Ich hatte es mir selbst einfach mal zum Ziel gesetzt Whatsapp Chats anderer Handys abzufangen und mitzulesen, self-hacking contest 😉
Es heißt, unter bestimmten Voraussetzungen (ein nicht verschlüsseltes oder schlecht verschlüsseltes (WEP) WLAN, Angreifer und Opfer im WLAN, Angreifer mit entsprechenden Tools) sei es möglich jegliche Whatsapp Nachricht aus dem WLAN zu filtern und zu lesen, egal ob von anderen Telefonen gesendet oder empfangen.
Es gibt praktisch keine WLAN Netze mehr, die mit dem alten Sicherheitsstandard WEP verschlüsselt sind, 99% aller WLAN Netze sind, wenn sie verschlüsselt sind, mit WPA oder WPA2 verschlüsselt. Hier ist im normalen Rahmen genug Sicherheit gegeben.
Nach einigen Stunden des Testens (ich habe mir zu Hause Test-WLANs erstellt und mit dem im Netz verbreiteten Sniffer-Tools versucht meine eigenen Nachrichten abzufangen) habe ich es aufgegeben, ohne Erfolg.
Und auch beim WEP WLAN und sogar komplett unverschlüsseltem WLAN habe ich es nicht geschafft.
Denn: Whatsapp verschlüsselt seit geraumer Zeit seine Nachrichten selbst, sogar in unverschlüsselten WLANs werden also nur noch verschlüsselte Daten (Nachrichten) verschickt, die nicht gelesen werden können. Aber auch hier gibt es schon wieder erste Zweifel an dieser Verschlüsselung.


Übernehmen fremder Accounts: Diese Sicherheitslücke existiert seit dem Update von Whatsapp, welches für die Verschlüsselung von Nachrichten sorgte. Schade eigentlich.
Ich habe mich mit diesem Problem noch nicht ausführlich beschäftigt und fasse mal (mehr oder weniger) kurz zusammen, was ich jetzt bei den ersten Recherchen herausbekommen habe.
Das Problem ist: Whatsapp meldet einen Client am Server mit Hilfe eines einzigartigen Passworts an; das soll die Sicherheit gewährleisten. Dieses Passwort wird also pro Gerät generiert. Wie dieses Passwort generiert wird ist aber bekannt! Das Server-Client-Passwort wird mit einer speziellen Geräte ID (IMEI bei Android, WLAN MAC bei iOS) und einem Algorithmus (der ja bekannt ist) generiert. Wer nun also diese ID eines Geräts herausfindet kann sich am Server als ein anderes Gerät dauerhaft identifizieren und hat dieses damit „übernommen“.
Ich bin kein Experte (das heißt die folgenden Punkte sind eher Vermutungen), aber an diese ID zu kommen bedarf meines Erachtens immer noch dem physischen Zugriff auf das Gerät:
– Bei Android steht die IMEI („eindeutige“ Kennung eines Android Gerätes) oftmals auf der Handyrückseite (unter dem Akku) steht, sich per Tastenkombi und per App auslesen lässt. Für alle 3 Varianten benötigt man das Handy des Opfers in der Hand.
– Beim iPhone stellt die WLAN MAC die ID des Geräts dar; auch diese lässt sich natürlich anzeigen, wenn man das Gerät in der Hand hat (wie beim Android unter der Voraussetzung, man hat das Entsperrmuster/PIN um aus dem Sperrbildschirm rauszukommen). ABER: diese WLAN MAC lässt sich glaube ich mit dem nötigen Wissen auch ohne physischen Zugriff beschaffen. Aber dafür müsste man auch online Kontakt zu dem Gerät aufnehmen, um sie dann aus der Ferne auslesen zu können. Details lasse ich aus.
Es ist also in freier Wildbahn ohne Zugriff auf das Handy des Opfers vermutlich nur schwer möglich, diesen Prozess heimlich und schnell durchzuführen. Die Tester und Schreiber der Sicherheitsartikel haben diese Sicherheitslücke bestimmt auch nur im Labor mit 2 Handys vor sich nachvollziehen können; das reicht ja auch um zu warnen, Sicherheitslücke ist Sicherheitslücke. Aber wie viele tatsächliche Opfer gab/gibt, wie oft dieser Prozess tatsächlich schon „geglückt“ ist, darüber habe ich noch nichts gelesen.
Und nun das große AAABER: auch diese Sicherheitslücke ist wohl seit Kurzem behoben! Es ist noch nicht so verbreitet, ob das Stopfen der Sicherheitslücke wirklich erfolgreich war oder wieder neue Lücken schuf; aber Whatsapp hat wohl ein Update verteilt, bei dem eben dieser Account-Klau gesichert wurde. Es ist wie gesagt abzuwarten ob das stimmt.

Fazit:
Whatsapp scheint sicher genug, um nicht von normalen Nutzern oder Hobby-ITlern missbraucht werden zu können. Wenn es Sicherheitslücken gibt (und die gibt es in jedem Programm), dann erfordern diese in freier Wildbahn bestens informierte, vorbereitete und nerdige Angreifer. Zusätzlich scheint es notwendig zu sein, dass der Angreifer in irgendeiner Art und Weise Zugriff auf das Gerät des Opfers bekommt, physisch oder via online Kontaktaufnahme.
Ich nutze Whatsapp und werde es auch weiter nutzen. Sich der Sicherheitsrisiken bewusst zu sein und dementsprechend vorsichtig zu handeln ((sowieso) keine unverschlüsselten WLANs nutzen, private oder wichtige Daten (Kontodaten, Passwörter usw) nicht über Whatsapp schicken) ist meine Devise.
Aber natürlich muss das jeder für sich entscheiden.

Whatsapp ist (noch) kostenlos. Dadurch entsteht für die Entwickler keine Verpflichtung gegenüber den Nutzern, eine gewisse Sicherheit zu gewährleisten. Man erwartet es aufgrund der Popularität (~10.000.000.000 ein-/ausgehende Nachrichten pro Tag!) zwar schon, sie bieten aber immer noch eine kostenlose Dienstleistung; der Nutzer hat keinen Anspruch auf irgendetwas (außer gesetzlichen Bestimmungen, z.B. bezüglich Datenschutz usw.).

In den letzten Tagen häufen sich die Gerüchte im Internet, dass Whatsapp kostenpflichtig wird; vorerst für Android-, BlackBerry-, Windows-Phone- und Nokia/Symbian Nutzer. Wenn diese Gerüchte stimmen wird Whatsapp sicher bald für alle Systeme kostenpflichtig. Wenn das so ist bieten die Entwickler eine kostenpflichtige Dienstleistung an und diese muss meines Erachtens dann auch einen gewissen Qualitätsstandard, auch bzgl. der Sicherheit, haben. Die Forderungen von den Nutzern und Wirtschaft/Politik sind dann auch dringlicher und werden sicher auch energischer.

Kurz zur Einleitung, weil das mein erster Post zu diesem Thema ist:
Monkeyrunner ist ein Tool des Android SDK, welches als Schnittstelle zu dem angeschlossenen Android Smartphone fungiert. Es bietet eine, mit Python Scripten angesprochene, Fernsteuerung des Geräts mit einigen Features. So lassen sich lange Interaktionsfolgen automatisiert verscripten und „unbemannt“ ausführen.

Also, Screen Lock & Unlock mit Monkeyrunner:

# simulierter Druck auf den Power Knopf -> Screen aus
device.press("POWER", MonkeyDevice.DOWN_AND_UP)

# eigene Methode zum Aufwecken des Bildschirms
# nochmal ein Druck auf POWER funktioniert nicht
device.wake()

# 1 Sekunde warten
MonkeyRunner.sleep(1)

# Ziehen des Entsperr-Rings (vom unteren Rand in die Mitte (HTC One X))
device.drag((354, 1191), (324, 525), 1, 10)

# entsperrt!

Der Sperrbildschirm ist in diesem Beispiel nur mit dem üblichen Entsperr-Ring von HTC versehen, kein Muster oder PIN.
Die einzige Hürde ist also das Festlegen der Koordinaten beim Entsperren. Dazu später noch ein weiteres Tutorial.

English Version

A short introduction first because this is the first post on this topic:

Monkeyrunner is a tool which provides an interface between your computer and the connected Android smartphone. It is controlled by Python scripts and is capable of serving as a Android device remote control with functions like sending various inputs, running apps, taking and saving screenshots from the device. This way you can automatize complex interactions and inputs and run them unattended.

How to lock & unlock the Android device with Monkeyrunner:

# simulate a POWER button press -> turn off the screen
device.press("POWER", MonkeyDevice.DOWN_AND_UP)

# monkeyrunner method to unlock the screen
# POWER button press doesn't work to turn on
device.wake()

# wait a second
MonkeyRunner.sleep(1)

# drag the unlock-ring (from bottom to center (HTC One X))
device.drag((354, 1191), (324, 525), 1, 10)

# unlocked!

This example shows that the lock screen is just secured by the HTC unlock-ring, which must simply be dragged from the bottom to the center. No lock pattern or PIN here (which is much easier to solve with monkeyrunner).
So there’s just one small thing to consider: defining the coordinates of your unlock … thingy’s start end end position. Doing so depends on the device and Android version your using. There will be a tutorial here about that very soon.

via

Heise warnt seit einigen Tagen vor speziellen Steuercodes, die Android Telefone im schlimmsten Fall interpretieren und direkt in Aktionen umsetzen. Das Telefon kann in den Werkszustand versetzt oder die SIM gesperrt werden. Die Codes sind klein, unscheinbar und können in URLs eingebettet werden. So werden sie zum Beispiel beim einfachen Aufruf einer Webseite ausgeführt.

Beispiel:

tel:*%2306%23

Der Code, wenn korrekt eingebettet, zeigt auf Android Telefonen bis zur Version 4.1.1 (Jelly Bean) die IMEI des Telefons an.

Probiert es doch mal. Auf der Seite www.ct.de/ussd ist dieser Code eingebettet. Link besuchen oder QR Code scannen.

Wenn euer Smartphone beim Aufruf dieser Seite folgendes Bild zeigt:

dann empfiehlt es sich eine App zu installieren bis das Problem in Android behoben wird. Die Anzeige der IMEI ist gegen einen Code zur Löschung des Telefons nämlich noch eher harmlos.
telStop ist eine solche App. Einmal als Standard für

tel:

Anweisungen gewählt übernimmt telStop diese Codes und warnt davor.

Nicht schön aber sicher!