Für 500 Dollar verspricht das "Freedom Phone" selbsternannten US-Patrioten die große digitale Unabhängigkeit. Das vom Bitcoin-Millionär Eric Finman für Donald-Trump-Fans ins Leben gerufene Gerät kommt mit einer eigenen Android-Adaption und auch einem eigenen Appstore. Dessen Vorteil wird damit beworben, dass keinerlei "Zensur" stattfinde. Als solche empfindet man etwa den Rauswurf der App des Rechtsaußen-Netzwerks Parler von Google Play und dem Apple Appstore aufgrund überbordender Hassrede. In letzterem Katalog ist sie mittlerweile wieder zu finden, nachdem die Betreiber unter anderem strengere Moderation implementierten.

Gemessen an der Technik zahlen Käufer hier allerdings einen hohen Preis für ein Handy, das auf einem Einsteigermodell des chinesischen Mittelständlers Umidigi basiert. Konkret dem Umidigi A9 Pro, das für 100 bis 150 Dollar gehandelt wird. Sicherheitsexperten warnten auch deswegen bereits in der Vergangenheit vor der Anschaffung des Handys. Nun wurde ein weiterer Grund bekannt, warum man vom Freedom Phone eher Abstand nehmen sollte. Auf dem Handy ist der verschlüsselte Messenger Signal vorinstalliert. Was man eigentlich als Pluspunkt verbuchen könnte, entpuppt sich bei näherem Hinsehen jedoch als Problem. Denn es handelt sich nicht um das Original.

(Not so) Clear Signal

Der Entwickler Matthew Garrett hat bei einem näheren Blick auf die Software des Handys festgestellt, dass es sich um einen Fork von Signal handelt. Jemand hat also den Quellcode des Projekts geklont und entwickelt auf dessen Basis nun eine eigene Variante. Diese heißt in diesem Falle "Clear Signal". Der Name referenziert dabei auf die eigene Android-Variante, die am Telefon installiert ist und sich Clear OS nennt.

Wer bei Clear Signal versucht, die Datenschutzbestimmungen zu öffnen, wird enttäuscht. Denn stattdessen poppt nur ein "404"-Fehler auf, der darauf hinweist, dass die zu ladende Webseite nicht existiert. Für Irritationen sorgt auch die Versionsnummer 5.8.14. In der offiziellen Ausgabe von Signal folgte bei den stabilen Ausgaben auf 5.8.1 Version 5.9.0 – auch im Beta-Zweig gab es nie eine 5.8.14.

Es fallen aber noch gewichtigere Unterschiede auf. Die adaptierte Variante von Signal telefoniert "nach Hause". Stürzt das Programm ab, so verschickt es automatisch einen Fehlerbericht. Welche Daten dieser beinhaltet, lässt sich nirgends einsehen. Die Originalversion von Signal bietet eine freiwillige Übermittlung eines Diagnoseprotokolls an, entweder direkt über den Messenger selbst oder per E-Mail.

Fragwürdiges Cloud-Backup

Ein weiteres Unterscheidungsmerkmal findet sich bei der Backup-Funktion. Wer seine Chats sichern möchte, um sie etwa beim Umstieg auf ein neues Handy zu importieren, kann eine solche Sicherung auf seinem alten Gerät anlegen und anschließend von dort auf das neue mithilfe eines Desktoprechners kopieren oder drahtlos direkt über das in der App integrierte Transfer-Feature übertragen. Die Wiederherstellung der Chats setzt die Nutzung einer 30-stelligen Passwort-Phrase voraus.

"Clear Signal" bietet hingegen auch die Option eines Cloud-Backups, bei dem das eigene Chatarchiv online hinterlegt und wieder abgerufen werden kann. Als Sicherungsmechanismus soll dabei eine "Clear ID" dienen, die, wie schon ClearOS, vom Projekt Clear United entwickelt wird. Ob das System nach "best practice"-Vorgaben arbeitet und adäquate Sicherheit gewährleisten kann, ist allerdings unklar und lässt sich auch nicht einfach prüfen. Garrett fand keine Hinweise darauf, dass das System jemals einem Peer Review unterzogen worden wäre.

Als zusätzliches Warnsignal kommt hinzu, dass der Quellcode für Clear Signal nirgends zu finden ist, obwohl dessen Veröffentlichung eigentlich gemäß der Bestimmungen der GPL3-Lizenz, auf der Signal basiert, vorgeschrieben wäre. Um Original und Fork zu vergleichen musste der Entwickler daher auf das Tool Jadx zurückgreifen.

"Gesundheitstuning durch Quantenverschränkung"

Zu diesen Kritikpunkten gesellen sich weitere Probleme. Clear Signal nimmt etwa keine Versionsprüfung vor, die beim Original dafür sorgt, dass Nutzer älterer Signal-Versionen aus Sicherheitsgründen ein Update durchführen müssen. Und die Funktion, mit der andere Nutzer sich zu dem Messenger einladen lassen, empfiehlt zusätzlich auch eine Anmeldung bei Clear United. Die dafür zuständige Schnittstelle wirft außerdem für jede Telefonnummer, die man einspeist, die zugehörige E-Mail-Adresse beim Clear United-Dienst aus, ohne eine Authentifizierung zu verlangen. Zudem werden beim Generieren des Einladungslinks auch noch alle Namen und Telefonnummern aus den eigenen Kontakten übertragen, ohne dass man darüber informiert wird.

Kritisch beurteilt Garrett auch die dahinter stehende Clear Foundation. Die Clear United-Plattform bezeichnet er als "Multilevel-Marketing-Betrug". In den Beitrittsbedingungen für neue Mitglieder stieß er auf interessante, wie esoterische Versprechungen. Dort werden Mitgliedern nämlich "Ergänzungen und Technologien" für "Frequenzevaluierungen", "angepassten Frequenzoptimierungen" und "Fern-Gesundheitstuning durch Quantenverschränkung" versprochen. (gpi, 18.4.22)