X

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

Yuilop-Chef: Wir bieten mehr Sicherheit als andere

Andreas Seeger
27

Wie sicher ist yuilop? Eine Frage, die sich bestimmt viele Nutzer stellen, nachdem das Magazin Golem in der letzten Woche aufgedeckt hatte, dass die App unter iOS auch unverschlüsselt sendet. Ich habe bei yuilop-Chef Jochen Doppelhammer nachgefragt.

Würdest Du yuilop als Instant Messenger bezeichnen?

Für mich ist yuilop ein umfassender sozialer Kommunikationsdienst. Wir sind sehr stark messaging-basiert, aber mit uns sind auch Telefongespräche und SMS-Nachrichten möglich. Hinzu kommt, dass yuilop eine offene Struktur hat. Es müssen nicht beide Chat- oder Gesprächspartner angemeldet sein, damit der Dienst funktioniert.

Bietet Yuilop im Bereich Instant Messaging mehr Sicherheit als andere Dienste?

Ja. Wir haben von Anfang an mehr Wert auf Sicherheit gelegt. Bei yuilop sind alle Daten verschlüsselt, die auf dem Gerät eintreffen und es verlassen. Das macht die Entwicklung der App aufwendiger, weil man etwa die Performance-Einbußen kompensieren muss, die mit der Verschlüsselung verbunden sind. Diesen Nachteil haben wir ganz bewusst in Kauf genommen, weil uns dieses Thema sehr wichtig ist. Dazu gehört auch, dass Nutzerdaten von uns in keinem Fall an Dritte weiter gegeben werden.

Aber die Website Golem hat kürzlich entdeckt, dass yuilop Nachrichten unverschlüsselt sendet. Was ist da los?

Unsere letzte iOS-Version 1.7 war eine komplette Neuentwicklung und da hatte sich ein Fehler eingeschlichen, den wir einfach übersehen haben: Eine Library hat neben der Verschlüsselung auch unverschlüsselte Verbindungen erlaubt. Wir waren geschockt, als wir davon erfahren haben und wir haben uns doppelt geärgert, weil der Datenschutz und die Privatsphäre unserer Nutzer ja oberste Priorität haben. Wir haben daher zusätzlich noch mal unsere Qualitätssicherungsprozesse verbessert und werden außerdem auch Server-seitig zukünftig unverschlüsselte Verbindungen nicht mehr zulassen, um solche Fehler in Zukunft komplett zu vermeiden.

Ein Update, das die Sicherheitslücke schließt, haben wir bereits am letzten Freitag bei Apple eingereicht. Leider können wir die Versionen unter iOS nicht einfach schnell austauschen, sondern sind an die Prozesse von Apple gebunden. Und das dauert eben. Wir rechnen aber in Kürze mit einer Freigabe durch Apple, dann sind auch iOS-Nachrichten wieder verschlüsselt. 

Sind andere Bereiche der App ebenfalls betroffen?

Betroffen war nur die Verschlüsselung von Chats beim iOS-System. Die aktuelle Version für Android Smartphones und Tablet-PCs ist sicher.


Jochen Doppelhammer, CEO von yuilop / (c) yuilop

Android-Nutzer müssen sich also überhaupt keine Sorgen machen?

Wenn sie untereinander chatten, ist der Text verschlüsselt. Wenn allerdings ein Android-Nutzer mit einem iPhone Nachrichten austauscht, das sich in einem offenen Wlan befindet, dann ist der Chat auf iOS-Seite nicht verschlüsselt. Und das bedeutet, dass die Nachrichten unter ganz bestimmten Voraussetzungen gegebenenfalls von Dritten mitgelesen werden können. Mit dem iOS-Update machen wir diese Lücke aber wieder dicht.

Was können Android-Nutzer in Zukunft von Yuilop erwarten?

Noch vor Weihnachten werden wir Gruppenchats einführen. Außerdem arbeiten wir an einer webbasierten Version von yuilop, sodass Nutzer nicht an die App gebunden sind. Da kann ich aber noch kein Datum nennen.

Verwandte Themen

Auch interessant

Magazin / Apps
10 vor 1 Tag

E-Mail-Falle: "WhatsApp Nachricht von..." führt zu Pornoseite

Magazin / Apps
8 vor 4 Tagen

App-Deals: Aktuelle Angebote und Schnäppchen im Google Play Store

Magazin / Apps
24 vor 4 Tagen

Offline-Games: Google macht Gegnern des Online-Zwangs Zugeständnisse

Kommentare

Neuen Kommentar schreiben:
  • Volkan aus HH 26.11.2012 Link

    Das ist echt der Hammer. Benutze es täglich und dank der app, habe ich mein Vertrag nicht verlängert

    0
    0
  • Patrick S. 26.11.2012 Link

    Hmmm naja... die Funktion telefonieren zu können finde ich unnötig! Das nervt mich, denn wenn ich unterwegs bin und mich jemand anruft ist das Internet meistens zu langsam um ein vernünftiges Gespräch zu führen.

    Des weiteren wollte ich meine Freunde davon überzeugen, yuilop zu nutzen. Nicht alle haben Android oder iOS ... Und im Store für WP7 hat er es leider nicht gefunden ... Das geht gar nicht ...

    0
    0
  • Timm Stenderhoff 26.11.2012 Link

    Nutze es notdürftig. Viel zu oft gehen die SMS nicht raus. Dann muss doch ne echte verschickt werden. Aber warum die SMS nicht rausgehen, das verrät einem die App nicht. Ach und Abstürzen is leider auch nix seltenes bei der App.

    0
    0
  • Volkan aus HH 26.11.2012 Link

    Lieber Patrick, man muss die App nicht haben, damit man nicht den anderen anrufen. Lies mal die Beschreibung.

    0
    0
  • jack takko 26.11.2012 Link

    volkan, bist du von yoilpopo.. ?

    0
    0
  • Marcus B. 26.11.2012 Link

    An whatsApp kommt trotzdem keiner vorbei xD

    0
    0
  • User-Foto
    Moritz B 26.11.2012 Link

    Ich kenn die App schon ewig, damals lief es aber nicht so gut.

    Ich glaube ich könnte mal einen zweiten Blick riskieren.

    0
    0
  • Michael S. 26.11.2012 Link

    CEO hört sich ja doof an. Aber da gibt es ja noch die deutsche Sprache, die auch für CEO eine treffende Übersetzung findet!

    CEO - geschäftsführendes Vorstandsmitglied

    Wow so einfach isses dem Menschen etwas verständlich zu machen. Muss doch mal gleich mal schauen, ob in amerikanischen Geschäftsberichten immer die deutsche Bezeichnung für CEO steht.

    0
    0
  • Andreas Seeger 26.11.2012 Link

    @Michael: Ich finde "Chef" am besten. Aber CEO habe ich auch benutzt, weil es so schön kurz ist :-)

    0
    0
  • Hans Dampf 26.11.2012 Link

    Ich bleib bei der guten alten Email. Die können erfinden was sie wollen, an Email kommt einfach kein Dienst ran :)

    0
    0
  • KojiroAK 26.11.2012 Link

    Wow, Androidpit erreicht weiteren Meilenstein auf dem Weg zur Bild der Android-Seiten.

    "Ich hab ... nachgefragt" sollte wohl eher heissen:"Ich hab mich mal als Stichwortgeber betätigt."

    Integrität schein wohl inzwischen ein Fremdwort.
    Aber hey, ich bin sicher, wenn ihr so weiter macht, könnt ihr bald auch nach einem Leistungsschutzrecht verlangen.

    0
    0
  • Andreas Seeger 26.11.2012 Link

    @KojiroAK: Schriftliche Interviews haben meistens die Eigenschaft, dass sie einseitig sind. Das liegt daran, dass sie der interviewten Person in erster Linie eine Bühne geben, um sich darzustellen (zumal das Interview in der Regel vor der Veröffentlichung einer Freigabe bedarf). Ob Du nun also einen Wolfang Schäuble in der Bild nimmst oder einen John Lancaster im Kulturteil der FAZ: Diese Menschen wollen ihre Botschaft an den Mann oder die Frau bringen. Nichtsdestotrotz haben solche Interviews ihre Daseinsberechtigung, weil diese Botschaften oftmals sehr interessant und relevant sind. Aber wem erzähle ich das, das weißt Du ja bestimmt alles besser als ich.

    P.S. Welche investigative Frage hättest Du dem Chef von yuilop noch gestellt? Oder lehnst Du Interviews als journalistisches/publizistisches Mittel komplett ab?

    0
    0
  • Daniel 26.11.2012 Link

    Habt ihr das auch selbst nachgeprüft oder einfach nur die Aussagen abgedruckt? Gegenüber Golem hat der Typ auch nach mehrfachen Nachfragen noch behauptet es wäre alles verschlüsselt, was sich später als dreiste Lüge herausstellte.

    0
    0
  • Andreas Seeger 26.11.2012 Link

    @Daniel: Das ist ein Interview, wir haben das nicht nachgeprüft.

    0
    0
  • KojiroAK 26.11.2012 Link

    z.B.:
    "Wie kommt es, dass niemand von Ihnen diesen Fehler bemerkt hat? Golem hat es gerade mal den Einsatz von Wireshark bedurft (was nun nicht wirklich die hohe Magie des Repertoire für Netzwerksicherheit ist)."
    "Wieso wurde der Nutzer, der diese Sicherheitslücke entdeckte erst abgewimmelt? "
    "Wieso wurde erst Golem, die Aufgrund einer gleichen Meldung des Nutzers bei Youillop angefragt haben, versichert, dass alle Chat-Nachrichten verschlüsselt würden, obwohl man bereits Kenntnis vom Gegenteil hatte?"

    Und auch schriftlich kann man mal nachhaken.

    Dauert zwar etwas, bis die Meldung raus ist aber hat dann einen Mehrwert gegen reinem PR-Geblubber.

    0
    0
  • fes frank 26.11.2012 Link

    was ist das für ein ein "journalist" der aussagen veröffentlich ohne deren inhalt zu verifizieren ??????

    "Ob Du nun also einen Wolfang Schäuble in der Bild nimmst oder einen John Lancaster im Kulturteil der FAZ: Diese Menschen wollen ihre Botschaft an den Mann oder die Frau bringen"

    unglaublich dieser satz, spricht ab für sich !!!!

    0
    0
  • mapatace 26.11.2012 Link

    Na ganz so einfach ist es nun auch nicht. Natürlich ist jede Puplikation wertiger, wenn gegen gescheckt wird. Nur muss der Aufwand auch gerechtfertigt sein. Und natürlich ist ein Interview auch verbindlich, im Inhalt und Form. Davon gehe ich aus, das dies beide Parteien auch bewusst ist.

    0
    0
  • samuirai 26.11.2012 Link

    Nicht golem fand heraus, dass die App die Nachrichten unverschlüsselt sendet, sondern der Sicherheitsforscher Thomas Roth (http://leveldown.de/). Er hatte yuilop deswegen kontaktiert, aber die hat es nicht interessiert. Danach meldete er es golem, die einen Artikel verfasst haben.

    0
    0
  • KojiroAK 26.11.2012 Link

    smuirai:
    Stimmt, sorry, hab meine Fragen recht kurz zusammengetackert (sollte man nicht) und später etwas gäendert.
    Und ich sehe gerade, ich hab das dann auch noch so in eine Frage verpackt (zugegebenermassen ohne Namen.)
    Aber als Golem die Meldung erhielt, reichte es Wireshark anzuwerfen um es zu checken. Daraus schliessen wir, Youilop hat das nicht getan. Und ich sage jetzt lieber nicht, welche 2 Möglichkeiten dadurch auftauchen, beide sind nicht gerade positiv für Youilop.

    mapatace:
    Eigentlich sollten die Benutzer hier sogar noch wütend sein, weil man sie anscheinend für genug blöd hält um nicht zu merken, dass das da oben nur ein reines PR-Geschreibsel ist. (die Bild hat bei sehr ähnlichem schon Rügen vom Presserat erhalten (jaja, ich weiss, "we sent them a strong worded letter") auch da wollte man sich rausreden, hat dann aber nicht geklappt.

    Und da muss ich dann auch sagen, das gehört auch zur Integrität, wenn du merkst, dass da nur leere Worthülsen kommen, man nur als PR-Sprachrohr dient und es keinen echten Mehrwert gibt, dann kloppt man alles zusammen in die Tonne.

    -----
    Allgemein, mir ist bewusst, dass bei Androidpit da aller Hopfen und Malz verloren ist, ich dachte aber, ich zeige da mal etwas auf, was man, wenn man etwas ähnliches aufziehen wollte, nicht machen sollte.

    Wenn ihr später bei der BILD anheuern wollt, dann ist das da oben allerdings perfekt.
    Wenn ihr tatsächlich einen Wert schaffen wollt, dann solltet ihr sowas lieber sein lassen.

    0
    0
  • Daniel 26.11.2012 Link

    @Andreas Seeger: Welchen Sinn hat das ganze dann? Gegenüber Golem hat die Firma behauptet alles sei verschlüsselt. Es wurde nachgeprüft und aufgedeckt, dass alles eine Lüge war. Eure Reaktion darauf ist also der Firma wieder einfach so zu glauben ohne es zu überprüfen. Was soll dieser Artikel bringen außer Werbung für eine Firma die ihre Kunden belügt?

    0
    0
  • Daniel 26.11.2012 Link

    Ich hätte noch eine Ergänzung zu den Fragen von KojiroAK:

    "Sie werben mit der hohen Sicherheit ihrer App, aber der Fehler wurde nicht bemerkt. Wird die Sicherheit gar nicht getestet?"

    "Warum wurden die Kunden nicht über das Sicherheitsproblem informiert, sondern auch nach aufdecken der Lücke weiterhin im Glauben gelassen die Kommunikation sei verschlüsselt?"

    "Warum steht im App Store immer noch SICHERHEIT WIRD GROSS GESCHRIEBEN, obwohl dort noch immer die unsichere Version zum Download angeboten wird?"

    Meine Meinung: Es kann sich ja mal ein Bug einschleichen, aber nach dem Aufdecken der Sicherheitslücke zu versuchen diese zu vertuschen ist unterstes Niveau.

    0
    0
  • Bagorolin 26.11.2012 Link

    Also ich habe die News als das augefasst was sie sind.. und zwar ein Interview! Und das fand ich eig. ziemlich interessant und die Reaktion vom Yulilop CEO auf die Fragen klangen alle offen und gut!

    0
    0
  • Andreas Seeger 27.11.2012 Link

    @Bargorolin: Danke!
    @Daniel: In meiner Welt stellt sich ein CEO in einem Interview nicht einfach hin und lügt, bis sich die Balken biegen. Wie schon mapatace geschrieben hat: Solche Interviews haben eine gewisse Verbindlichkeit. Ich wäre an Deiner Stelle auch vorsichtiger, bevor ich andere der Lüge bezichtige. Gegenüber Golem hat ein gewisser "Marketingmanager Frisch" gesagt, dass alles verschlüsselt ist. Hast Du schon mal daran gedacht, dass er es zu diesem Zeitpunkt einfach nicht besser wusste? Die Firma ist im übrigen sehr offensiv mit dem Problem umgegangen, siehe Update im Golem-Artikel. Vertuscht hat da keiner was.

    @KojiroAK: yuilop hat einfach Mist gebaut uns sie werden es bestimmt nicht wieder tun. Warum gibst Du ihnen nicht einfach eine Chance? Jeder macht Fehler. Und ich weiß nicht, was Du von so einem Interview erwartest, aber glaubst Du, da lässt sich ein CEO öffentlich verbal ans Kreuz nageln? Wir wollten Ihm eine Möglichkeit geben, Stellung zu den Problemen zu beziehen und zu erklären, wie es unter Android aussieht. Das ist auch der Grund, warum wir die iPhone-Affäre nicht vertieft haben. (Wir heißen ja schließlich AndroidPIT) Wenn das für Dich PR-Geschreibsel ist, dann kann ich Dir auch nicht helfen.

    0
    0
  • torat45 27.11.2012 Link

    Wie Bagorolin sagt, es ist ein Interview und nichts weiter. Daher ist es auch als ein solches zu verstehen. Der CEO (ich mag diesen Begriff) scheint ein sympathischer Typ zu sein. Die Fragen wurden, meiner Auffassung nach, auch offen und ehrlich beantwortet. Er ist keiner Frage ausgewichen und steht auch zu dem Fehler. Was erwarten hier die Leute von einem Interview? Dass der Herr sich hinstellt und sein Produkt schlecht macht?

    0
    0
  • Daniel 28.11.2012 Link

    "yuilop hat einfach Mist gebaut uns sie werden es bestimmt nicht wieder tun. Warum gibst Du ihnen nicht einfach eine Chance?"

    Warum wird yuilop von Androidpit ständig verteidigt? Weil sie gute Werbekunden sind? yuilop hat Mist gebaut und dann versucht den Mist zu vertuschen. Nachdem Golem den Mist aufgedeckt hat, hat yuilop immer noch behauptet die App sei sicher. In der App Beschreibung wird das bis heute behauptet.

    0
    0
  • Andreas Seeger 28.11.2012 Link

    Hey Daniel,
    ich weiß nicht, was Dich reitet, permanent auf Google+ und auch hier in den Kommentaren gegen diese Geschichte zu schießen, aber wenn Du glaubst, dass wir gekauft sind, dann glaub es einfach. Ich habe keine Lust mehr, mit jemanden zu diskutieren, dessen Meinung sowieso schon fest steht.

    Dieses Interview ist frei von irgendwelchen Werbegeschichten entstanden. Wir arbeiten hier völlig unabhängig. Wenn Du das anders siehst, dann kann ich Dir einfach nicht helfen.

    0
    0
  • User-Foto
    Thomas Keup 07.12.2012 Link

    @Daniel
    Meine Name ist Thomas und ich betreue die Pressearbeit für yuilop in Deutschland, bei Dir in Östereich und in der Schweiz. Da Du auf AndroidPIT eine Reihe von Kommentaren zu uns gegeben hast, bin ich Dein direkter Ansprechpartner. An dieser Stelle ein paar Hinweise zu Deinen Anmerkungen:

    Thema Interview:
    Andreas Seeger hat das Interview mit unserem Gründer und CEO unabhängig von mir oder unserem Marketing geführt. Er hat die Fragen Jochen gestellt, ohne dass ich sie vorher kannte. Die Antworten hat Jochen seinerseits Andreas gegenüber gegeben, ohne dass ich oder Kollegen von mir diese vorher kannten.

    Thema Vertuschen:
    Wir wurden am Donnerstag-Abend (15. November) von Golem.de auf die nicht vorhandene - zusätzliche - Verschlüsselung der iOS-Version hingewiesen. Wir haben in der Nacht zum Freitag, den 16. November mit unseren Technikern das Problem evaluiert. Wir haben am Vormittag des Freitags unsere User informiert.

    Thema Sicherheit:
    Weil Chats von Usern in der iOS-Version 1.7 mit zusätzlicher Technik (Sniffer) in öffentlichen WLANs zeitweise mutwillig mitgelesen werden konnten, ist weder die Yuilop-App mit Calls, SMS oder Chat generell unsicher, noch die "betroffene" - und mittlerweile korrigierte - iOS-Version. Als Developer weisst Du das sicher.

    Thema Behauptungen:
    Mein Kollege Jacques Frisch hat Golem.de-Redakteur Steeve Haak gesagt, unsere App ist sicher. Das ist richtig. Jacques wusste jedoch ebenso wenig wie ich oder unser CEO, dass die zusätzlich von uns angebotene Verschlüsselung in der veröffentlichten iOS-Version plötzlich nicht mehr funktionierte. Alles "eine Lüge" oder sogar eine "dreiste Lüge" zu nennen, finde ich nicht korrekt!

    Wenn Du irgendwelche Fragen hast, frag mich!

    0
    0