In der Woche vom 23.-27. Januar war ich für ein paar Termine in der Europäischen Kommission und im Europäischen Parlament sowie das Privacy Camp und die Konferenz “Computers, Privacy & Data Protection” in Brüssel.
Beim Besuch meines Email-Accounts mit dem Browser fiel mir auf, dass ein Zugriff aus den USA erfolgt war. Die IP-Adresse deutete auf einen Server von Ovi Services (Nokias Platform für Internetdienste) hin.
Nachdenklich geworden sendete ich Nokia folgende Anfrage, die (etwas dürftige) Antwort steht darunter.
My Email to Nokia
Dear Nokia my Name is Christian Bahls. I am Chairperson and founding Member of German MOGiS e.V. – A Voice of Reason. Besides Civil and Human Rights Issues we are also into Data Protection. While visiting Brussels for the Computers, Privacy & Data Protection Conference (CPDP) i noticed that some of my IMAP connections to my email service Provider originated from the USA (see attached image or visit why_is_nokia_routing_my_imap_traffic_through_the_usa?). The accesses you see are:The net range: 66.54.64.0 – 66.54.95.255 is Ovi Services, 200 Mathilda Ave., Sunnyvale, California, USA So my Questions would be:
- The Browser access using my hotels WiFi in Belgium
- The Mobile connections an email app on the Telefone made (packet data passing through Germany while Roaming)
- The IMAP connection that the Symbian^3 (Anna) email application made (going through the USA).
I will be eagerly awaiting your answer, please tell me if your answer is not for publication as i would like to follow up on this on our associations blog. kind regards Christian Bahls
- Should i have been be aware that my email app accesses IMAP through OVI services (e.g. not using an end-to-end connection from my device) thereby breaking end-to-end encryption?
- Are Ovi Services storing my password and other account details to access the IMAP server that i configured? Are Ovi Services storing emails that pass through it while using the application on the telephone?
- Are they accessing my email while the email application is not running on the telephone?
- If any of 2) 3) are answered with “yes”
- Who has access to this data?
- Under what Jurisdiction is this data stored?
- What service Providers are processing the data involved with the connections Ovi Services initiates on my behalf? (Cloud-, Access-, and Hosting-Provider)
- Finally: Could you imagine a less intrusive way for the email application on my telephone to access my email or should i start to use this very nice piece of hardware as my new (albeit) expensive paperweight?
Their Answer
(from: ContactCentre.Europe.at.nokia.com)
Sehr geehrter Herr Bahls, vielen Dank für Ihre Kontaktaufnahme mit dem Nokia Kundendienst. Im Zusammenhang mit Ihren Fragen habe ich Sie auf die +491234567890 angerufen, leider waren Sie aber nicht erreichbar. Da ich aber nur für technische Unterstützung der Nokia Geräte zuständig bin, kann ich nur ein Teil Ihrer Fragen beantworten. Ich werde mich aber bemühen, diese zu beantworten. Ich habe den Link geöffnet und die Verbindung ist wirklich mit einem Server in den USA. Das muss Ihnen aber keine Sorgen machen. Die OVI Mail Service arbeitet mit den Servern von Yahoo. Diese befinden sich in den USA. Information über Ihr Konto und dazugehörenden Kennwörter wird nicht gespeichert. Alls Data wird gespeichert nur, dass Sie der Besitzer von einem Konto sind. Information über Benutzernamen, Kenwörter oder andere Kontodetails haben wir nicht. Zugriff zu Ihren Daten (Emails, Anhänge u.s.w.), die am Server hochgeladen sind, haben wir auch nicht. Ich empfehle Ihnen sich direkt an der Nokia Administration zu wenden. Ich und meine Kollegen können Ihnen nicht weiterhelfen. Wir sind Technische Unterstützung für Deutschland (Technical support team) und wir haben keinen Zugriff auf Information über die Kundenkontos. Wie genau die Bearbeitung von Information auf den OVI Server läuft ist uns auch nicht bekannt. Die Information, die ich habe, habe ich Ihnen mitgeteilt. Ich hoffe, dass ich Ihnen helfen konnte und wünsche Ihnen einen schönen Tag.
Nun was mich ja eher interessieren würde ist, ob man nicht ggf unbewusst gegen die AGBs seines Email Anbieters verstößt? Es gibt doch einige Klauseln das man seine Passwörter nicht an dritte weiter geben soll/darf. Wenn man dann aber einen solchen Service nutzt der für ein auf das Email Konto zugreift, gibt man ja die Zugangssteuerung an dritte weiter.
Offensichtlich hat der beantwortende nicht einmal im Ansatz die Probleme oder Fragen verstanden…
Ich hoffe man gibt sich nicht mit diesen “Erklärungen” zufrieden und bleibt an der Sache dran!
Jetzt weiß ich auch was Du genau meintest, als wir uns in Brüssel getroffen haben. Da hilft dann in der tat nur noch GPG oder Zertifikatsbasierte Verschlüsselung.
Ich hoffe Du kannst das noch weiter eskalieren.
(Christian: ist wohl angekommen :)
Sehr schön finde ich die Stelle:
Das muss Ihnen aber keine Sorgen machen. Die OVI Mail Service arbeitet mit den Servern von Yahoo
Keine Angst, wir Speichern nichts, wir nutzen nur die Technik einer dritten Firma.
Dass Nokias OVI die Daten durch Amerika Tunnelt wundert mich persönlich nicht. Ich hatte kurz nach Erscheinen der Apps das ganze auf meinem (damals) E71 getestestet und gemerkt, dass es über einen Server von Nokia geht statt direkt auf meinen Server zu verbinden. Dass Nokia dafür die Logindaten irgendwo speichern muss ist wohl klar. Vielleicht solltest du es mal mit einem Auskunftsersuchen nach BDSG versuchen, um mehr Informationen aus ihnen heraus zu kitzeln ;-)
Hallo? Erstatte Anzeige, § 202b StGB. Beste Grüße
Habe gerade mal versucht, das ganze auf meinem C5-00 (kein Anna) zu reproduzieren. Beim Einrichten eines Googlemail-Kontos bekommt man einen hundert Bildschirme langen Vertrag angezeigt, in dem auch drin steht, dass irgendein Datenverkehr über Nokia-Server laufen soll. Wenn ich den ablehne, funktioniert der Zugriff allerdings trotzdem und die Verbindung läuft auch nicht über Nokia.
Hast du denn irgendwelche Nutzungsbedingungen für diesen Ovi-Dienst (Push-Mail?) akzeptiert? Oder stört dich mehr die Tatsache, daß der Server der Deine Logindaten hat in den USA steht und nicht in Finland?
Antwort Christian:
Dass der Server in den USA steht und dass die IMAP-Verbindung nicht Ende-zu-Ende ist, dass ich da unbewusst irgendwelche Services von OVI benutze obwohl IMAPv4 push email kennt (zumal die Verbindung über OVI einen schlechteren Service liefern als die direkte Verbindung), fand ich dann doch etwas überraschend, zumal der zig Seiten lange Disclaimer nicht wirklich lesbar ist und solche Informationen in 3 Sätze passen würden:
“Wenn Sie hier zustimmen werden Ihr Nutzer-Name und Ihr Passwort genutzt um in Ihrem Namen Verbindungen aus unseren Rechenzentren in USA/Europa/XYZ zu Ihrem Email-Provider aufzubauen. Sie können uns die Zustimmung verweigern, Ihre Email-Applikation wird trotzdem funktionieren. Sie kommen dann aber leider in den Genuss der dem System innewohnenden Verzögerungen und Latenzen.”
es ist ja noch viel schlimmer: die support-anfragen werden offensichtlich durch indien geschleust!!1! :)
Fragen über Fragen. Nicht nur, dass er deine wohl nicht verstanden hat. Ich frage mich gerade, ob seine Antwort eine maschinelle Übersetzung seines Englisch (oder was auch immer) ist. Oder ob er wirklich das so geschrieben hat. Und wenn er nicht in der Lage ist, die Fragen zu beantworten, warum leitet er deine Anfrage nicht an einen kompetenteren Ansprechpartner weiter? Manchmal kann man den Eindruck gewinnen, die wollen einen alle einfach nur verschaukeln.
Und “keine Sorgen” machen, da die Server von Yahoo genutzt werden. Ich brech zusammen. Oh man.
Wenn du bei Symbian^3 aufwärts deine Emails ohne Ovi Umleitung nutzen willst, musst du den Mailassistenten austricksen: - Mailprogramm öffnen - “Neues Postfach” - “Starten” - Kontoinformationen eingeben - Sobald die Frage erscheint, ob du die Nutzungsbedingungen akzeptieren willst, “Ablehnen” wählen. Dadurch wird nicht der Ovi-Mail Pushmail-Blablub genutzt, sondern das Handy ruft selbst die Mails beim Mailserver ab.
Dass man mit der Ablehnung der Nutzungsbedingungen eine Ende-zu-Ende-Verbindung hinbekommt ist mir dann auch irgendwann aufgegangen.
Dass ich überhaupt eine Nachfrage an Nokia gesendet habe ist der Tatsache geschuldet, dass ich der Auffassung bin darüber sollte mal öffentlich diskutiert werden.
Vielleicht können wir so auch den Datenschutz-sensitiven Ingenieuren bei Nokia den Rücken stärken. Nokia ist ja eine “peoples company”, vielleicht lassen sie ja mal jemanden der Ahnung vom Thema hat an’s “Megaphon”.
Christian
PS: BDSG wäre nur eine spätere Eskalationstufe, das würde ich dann an jemand mit mehr Zeit delegieren, glaube aber, dass die Anfrage bei Nokia gehört wurde, mal sehen, was die Pressestelle für eine Antwort bringt und ob sie tatsächlich detailiert auf meine Fragen eingeht. (extra Punkte natürlich für die Beantwortung von offensichtlichen und von mir in der Eile nicht gestellten Fragen :)
PPS: If the Nokia Press Services are reading this blog: please feel free to let the most appropriate engineer answer the request, and perhaps learn from the message he tries to convene to you.
Hi Christian Da ich bei Nokia arbeite und mich heute auch ein wenig an einer internen Diskussion zum Thema beteiligen konnte, fühle ich mich mal angesprochen. Allerdings werde ich den Informationen, die Du möglicherweise von offizieller Seite noch bekommen wirst, nicht vorgreifen, da mein eigentliches Fachgebiet woanders liegt. Nur soviel: Der Nokia Push Service ist tatsächlich optional. Nach allem was ich bisher weiß, so Datenschutzkonform wie möglich umgesetzt, und die Haupt-Schwachstelle, nämlich dass man als Nutzer u.U. das Feature aus Versehen aktiviert wenn man nicht jede Richtlinier aufmerksam liest, ist in Symbian Belle beseitigt: Dort bekommt man einen Dreizeiler angezeigt, der den Service kurz beschreibt, und die Optionen sind “Standard” oder Service nutzen. Wobei ich dazu erwähnen möchte, dass es einen schon stutzig machen kann, wenn man beim Einrichten eines 1und1 Postfaches die OVI Bedingungen akzeptieren soll. Hätte Nokia die Nutzer da irgenwie rein tricksen wollen, hätten sie das mit in die Lizenz beim ersten Initialisieren des Gerätes gepackt und sich weitere Fragen gespart.
“peoples company”… Ja, die Bezeichnung könnte von mir kommen. Auch wenn sie nach Bullshit Bingo klingt hat sie für mich konkrete Bedeutung. Allerdings will ich das Forum hier nicht nutzen, um extensive Nokia-Werbung zu machen, und Deine Mail-Adresse, um mich weniger öffentlich zu äußern, kann ich hier nicht finden.
Das mit dem OVI Bedingungen hatte ich zuerst als EULA für die Mail-App angesehen. Wie oben schon erwähnt sind es wirklich nicht wenige Seiten, die sich einem da präsentieren. Dass man sie ablehnen kann und trotzdem vernünftig E-Mail lesen kann war für mich nach ein paar Stunden doch eine sehr interessante Entdeckung. Die Wortwahl bei Symbian^3 Belle wird das dann etwas deutlicher machen, wahrscheinlich werden sich dann aber weniger Leute bereitfinden ihre Mails bei OVI zwischenzulagern.
PS: You’ve got email :)
Die Emails werden nicht bei OVI (oder Nokia) zwischengelagert, sondern nur durchgereicht. Die Idee ist simpel: Anstatt Dein Handy alle paar Minuten bei allen Mail-Providern pollt und damit den Akku leer saugt, pollt das Nokia Gateway für Dich und informiert Dein Handy wenn was da ist. Da die Mail nicht bei OVI zwischengespeichert oder gar archiviert oder analysiert wird, kann auch niemand dort die Herausgabe von Nokia fordern. Allerdings muß sich das Gateway wohl beim Provider authentifizieren, und braucht dazu zumindest kurzfristig entweder die Credentials, oder der Client authentifiziert sich jeweils zum Verbindungsaufbau und gibt ein Token weiter an das Gateway. An der Stelle kenne ich die Details nicht ganz genau, aber offensichtlich braucht das Gateway irgendwie Zugriff auf die Mailbox. Wer das freiwillig nutzt… Nunja, wenn man sich anguckt, wie groß der Marktanteil amerikanischer Services ist, scheint die überwiegende Mehrheit kein Problem damit zu haben, wenn Daten in den USA liegen. Wer einen US-Mail-Provider nutzt, sollte durch diesen Messaging Service auch kein zurätzliches Risiko haben. Persönlich habe ich sogar einen Facebook Account, den würde ich aber nicht für sicherheitskritische Dinge nutzen. Ähnlich würde ich eine Mailbox für Smalltalk und unwichtiges Geplänkel problemlos über Nokia/OVI laufen lassen und mich über die verlängerte Akku-Laufzeit freuen. Sicherheitskritische Dinge sind ein anderes Thema: Es stellt sich die Frage, ob alle Nokia Gateways in den USA liegen, und ob andernfalls die Wahl des genutzten Gateways vom Mail-Provider abhängt, welche Gesetze für diese Gateways gelten, etc. Andererseits: solange ich nicht meinen eigenen IMAP Server betreibe, stellt sich schon die Frage, ob der Sicherheitsgewinn so groß ist, oder ob Deutsche Provider nicht im zweifelsfall ohnehin auch mit den entsprechenden Behörden kooperieren.
Gruß, Thorsten
Naja, push email geht auch mit IMAPv4.
Das ganze nennt sich dann IMAP IDLE https://en.wikipedia.org/wiki/IMAP_IDLE
Der Client bekommt die Nachricht einer Änderung und schaut dann nach, was sich geändert hat (neue Nachricht etc pp).
Das hat schon mit meinem Nokia S40 Series funktioniert.
Oder gibt es da Dinge, die man als normaler Anwender nicht bedenkt? z.B.: Timed die IMAP-Verbindung zu früh aus?
Ich arbeite eigentlich in einem anderen Bereich und habe mich in die Diskussion aus Eigeninteresse eingemischt. IMAP_IDLE kannte ich daher bisher nicht. Interessante wäre zu wissen, wie verbreitet die Unterstützung dieser Erweiterung bei den Providern ist, und wie die Server sich bei einem zeitweisen Disconnect verhalten (wenn man mal ein Stück U-Bahn fährt, in einen Aufzug steigt oder ähnliches). Ich frage mal intern im Forum nach, vielleicht erfahre ich mehr.
Vom Sicherheitsaspekt her würde ich aber noch anmerken, dass bei kritischen Informationen ohnehin kein Weg um einer Verschlüsselung herum führt.
Bitte dranbleiben! Fakt ist: hier werden ungefragt Zugangsdaten zwischengespeichert – heutzutage kann man nicht mehr davon ausgehen, dass sowas “aus Versehen” stattfindet. Ist das bei anderen Apps ähnlich? Übel!!!