Verdacht: Outlook versendet teilweise Inhalte von Emails via Firebase/Google

Liebe Leser:innen,

einige von uns verbindet ja eine gewisse Hassliebe mit Microsoft. Haupt- und Ehrenamtliche müssen es – je nach Kirche – verwenden. Einige Kirchen zahlen viel Geld für Office365 und Co. Andere Kirchen und Einrichtungen bekommen die Lösungen von Microsoft kostenlos zu Verfügung gestellt. Persönlich kann ich die juristischen, administrativen und technischen Gedankengänge für einen Einsatz von MS 365 auch durchaus nachvollziehen. Auf der anderen Seite habe ich aber manchmal das Gefühl, dass unsere Erwägungen für den Einsatz von FLOSS bei Entscheidern nicht immer ausreichend auf dem Schirm sind. Oder zumindest nicht die Bedeutung beigemessen bekommt, die sie unser Ansicht nach verdienen. Zumal der Einsatz von Microsoft Produkten im öffentlichen Dienst ohnehin umstritten ist.

In jedem Fall ist Outlook für Android auch auf meinem Mobiltelefon installiert. Als Linuxer und FLOSS Enthusiast mit gemischten Gefühlen und einer gewissen Skepsis bis hin zu einer Hermeneutik des Verdachts. Bis auf Spotify und weitere O365 Produkte, die ich dienstliche brauche, habe ich immerhin sonst nur Apps aus F-Droid installiert. Daher ist mir wahrscheinlich in den letzten Tagen ein Verhalten von Outlook für Android aufgefallen, für das ich aktuell noch eine Erklärung suche.

Denn vor einigen Wochen fiel mir auf, dass ich Push Notifications (mit Inhalt) auf mein Handy angezeigt bekomme, obwohl die entsprechende Session in Outlook abgelaufen ist. Ich bekam also Notifications für Emails, die ich mit der App selber nicht mehr abrufen konnte.

Nach ein wenig Basteln, konnte ich (und mindestens eine weitere Person) dieses Verhalten auch mit einer gültigen Session nachstellen:

• Task der Outlook App ist beendet
• App besitzt die Berechtigung „im Hintergrund zu laufen“
• NetGuard blockiert Outlook

Hier wurden dann Push Notifications für eingegangene Nachrichten angezeigt, die in der App selber nicht vorhanden zu sein scheinen.

In einem nächsten Schritt habe ich dann einen Blick in die Logdateien geworfen und dabei folgendes gefunden:

# adb logcat | grep "GmsGcmMscInput"

06-08 23:21:20.945 30253 30809 D GmsGcmMcsInput: Incoming message: DataMessageStanza{id=A0241AFD, from=445112211283, to=dNpfikjjQ_CMVLdEPlFLit, category=com.microsoft.offic
e.outlook, app_data=[AppData{key=HxMessage, value=\{„MailboxGuid“:“4356d7cd-739d-4055-bf5f-3e2462e129d2″\,“NewMailNotifications“:\[\{„From“:“< von mir gelöscht >„\,“ImmId“:\[0\,9\
,0\,46\,0\,0\,0\,0\,0\,29\,132\,3\,17\,170\,102\,17\,205\,155\,200\,0\,170\,0\,47\,196\,90\,13\,0\,16\,69\,81\,18\,235\,222\,61\,75\,185\,3\,51\,244\,119\,244\,52\,11\,0\,2
\,172\,249\,95\,238\,0\,0\]\,“LastDeliveryTime“:“2022-06-08T21:21:20Z“\,“MeetingResponseType“:4\,“Preview“:“Weit hinten\, hinter den Wortbergen\, fern der Länder Vokalien u
nd Konsonantien leben die Blindtexte. Abgeschieden wohnen Sie in Buchstabhausen an der Küste des Semantik\, eines großen Sprachozeans. Ein kleines Bächlein namens Duden fli
eßt durch ihren“\,“ReceivedOrRenewTime“:“2022-06-08T21:21:20Z“\,“Sender“:“< von mir gelöscht >„\,“Topic“:“Ich bin ein Test“\,“ViewId“:\{„ImmId“:\[0\,3\,36\,0\,52\,51\,53\,54\,100\
,55\,99\,100\,45\,55\,51\,57\,100\,45\,52\,48\,53\,53\,45\,98\,102\,53\,102\,45\,51\,101\,50\,52\,54\,50\,101\,49\,50\,57\,100\,50\,0\,46\,0\,0\,0\,0\,0\,93\,113\,117\,62\,
167\,29\,130\,78\,187\,150\,200\,36\,229\,106\,132\,235\,1\,0\,90\,179\,62\,54\,108\,91\,110\,71\,166\,65\,40\,123\,98\,132\,100\,161\,0\,0\,0\,192\,227\,187\,0\,0\]\,“Type
„:1\}\}\]\,“TenantGuid“:“< von mir gelöscht >„\}}, AppData{key=google.c.sender.id, value=445112211283}, AppData{key=type, value=OutlookPushNotification}], p
ersistent_id=0:1654723280941641%e9147688f9fd7ecd, last_stream_id_received=11, ttl=432000, sent=1654723280936}

Bei Einträgen von GmsGcmMscInput handelt es sich um Firebase, dem Pushdienst von Google für Neuigkeiten (Nachrichten, Emails, verpasstes Päckchen, Promoaktionen…). Die Idee dahinter ist, dass es schlicht schneller ist und weniger Bandbreite, Rechenzeit, kurzum Energie benötigt, wenn ein zentraler Dienst über Neuigkeiten informiert und nicht jede App ständig und immer wieder nach Neuigkeiten fragen muss. Das Handy reagiert schneller und der Akku hält länger. Der Nachteil ist, alles läuft über Google und Google kann alle Daten mitlesen.

Im Normalfall werden die Daten von GmsGcmMscInput auch nicht so ausführlich angezeigt. Da ich aber MicroG (CalyxOS auf dem Fairphone) statt der Google PlayServices nutze, sehe ich hier deutlich mehr in den Logdateien. Unter anderem eben auch, was Firebase so alles auf mein Handy pusht. Und hier ist mir das Array app_data aufgefallen, welches zumindest Teile meiner Testmail enthält. Ich gehe daher aktuell davon aus, dass O365 eine Firebase “Datennachricht” verschickt, anhand derer Outlook eine Preview generiert. Der eigentliche Abruf der Email scheint ein separater Schritt zu sein. In der via Firebase versendeten Datennachricht befindet sich zumindest der Absender, Betreff und der für eine Vorschau notwendige Anfang einer Nachricht (etwa 250 Zeichen).

Vor einiger Zeit habe ich daher auch Kontakt mit der IT Abteilung meiner Landeskirche aufgenommen und um eine Klärung gebeten, die aktuell in Arbeit ist. Eine Anfrage an Microsoft Deutschland wurde gestellt. Eine wirkliche Widerlegung oder auch ein Beweis steht bisher noch aus. Ggf. tritt dieses Phänomen aber nicht auf jedem Mobilgerät auf oder es gibt noch andere Faktoren. Vielleicht habe ich mit meiner Hermeneutik des Verdachtes gegenüber Microsoft auch einfach einen falschen Schluss aus den Daten gezogen.

Aber aktuell sieht es für mich so aus, als sei Outlook hier mindestens schlecht Entworfen. Die aus Sicht des Datenschutzes bessere Alternative wäre, eine leere Nachricht zu versenden. Eine Art “Hey du App, mach mal was, du wirst gebraucht.” Die App lädt dann die Email herunter und eine Notificiation wird erst nach Abruf der Email generiert. Das würde etwas länger dauern, aber dafür ohne das Durchleiten von personenbezogene Daten an Google auskommen. So handhaben es z.B. auch Threema, Signal, Matrix und Co. Mein zweites Mailprogramm (FairMail) kommt sogar ganz ohne Pushdienst aus. Es geht also definitiv auch anders!

Bei meinen Test hat Outlook sich auch manchmal so verhalten, wie es wünschenswerter wäre. Ein app_data  Array hat hier gefehlt und der Eintrag sieht dann z.B. so aus:

# adb logcat | grep "GmsGcmMscInput"

06-08 23:01:25.968 30253 30809 D GmsGcmMcsInput: Incoming message: DataMessageStanza{id=9F798901, from=445112211283, to=dNpfikjjQ_CMVLdEPlFLit, category=com.microsoft.office.outlook, app_data=[AppData{key=HxMessage, value=\{„MailboxGuid“:“4356d7cd-739d-4055-bf5f-3e2462e129d2″\,“NewMailNotifications“:\[\]\,“NotificationWatermark“:43\,“TenantGuid“:“a47f84e5-7042-4004-a0a9-8d4c9e85fcb2″\,“Watermark“:\{„Counter“:43\,“SessionId“:637902908397740137\}\}}, AppData{key=google.c.sender.id, value=445112211283}, AppData{key=type, value=OutlookPushNotification}], persistent_id=0:1654722086013333%e9147688f9fd7ecd, ttl=432000, sent=1654722086007}

Wie es zu den unterschiedlichen Verhalten kommt, habe ich bisher nicht erklären können. Aber i.d.R. überwiegen bei mir die Notifications mit app_data.

Vielleicht liegt hier auch ein Verstoß gegen die DSGVO bzw. der Verträge zwischen Microsoft und O365-Tennants vor. Aber ehrlicherweise habe ich auch keine Ahnung, was so alles via FCM versendet werden darf. Ob Alphabet hier überhaupt Daten analysiert/verarbeitet oder ob man das ganze „irgendwie mit entsprechenden Verträgen“ mit der DSGVO unter einen Hut bekommen hat. Juristisch ist vieles Möglich, aber die von mir vermutete Ansatz von Microsoft entspricht zumindest nicht dem Geist der DSGVO.

Update #1:

Zwischenzeitlich hatte ich auch Kontakt mit Mike Kuketz ( https://www.kuketz-blog.de ), von dem ich eine hohe Meinung in solchen Dingen habe. Aktuell befindet er sich im Urlaub und wird sich erst später mit diesem Thema befassen. Aber immerhin hat er es als Microblog auf seiner Seite veröffentlicht und kommt zu dem Schluss:

Versendet die Outlook-App von Microsoft (unter bestimmten Bedingungen) tatsächlich E-Mail-Inhalte via Google Push Notifications? Das wäre aus meiner Sicht ein katastrophales App-Design und ein schwerer Verstoß gegen die DSGVO. Man muss sich das mal vorstellen: Google wäre dadurch in der Lage die Inhalte von (sensiblen) E-Mails mitzulesen. Eventuell fühlt sich jemand berufen der Sache auf den Grund zu gehen. Ich bin erst wieder ab dem 23. Juni in der Lage das Szenario nachzustellen.

Dieser Aufforderung und Einschätzung kann ich mich nur anschließen.

Vorletzter

More Posts