Purism startet Librem One, ein Bündel sicherer Bezahldienste bestehend aus Chats, Social Media, Mail und VPN und muss gleich am ersten Tag ein größeres Loch im Chat stopfen.
Bekannt geworden ist Purism mit seinen sicheren Laptops, die es zum Beispiel erlauben, bestimmte Hardware abzuschalten. Zugleich arbeiten die Purism-Macher an einem freien Smartphone, dem Librem 5, das im dritten Quartal 2019 erscheinen soll.
Viel Geld verdient Purism damit aber vermutlich noch nicht. Daher hat das Unternehmen, das einen Status als Social Purpose Corporation führt, am 29. April seine Librem One Services gestartet. Dabei handelt es sich um verschiedene Dienste, Mail, VPN, Chat und Social Media, die Anwender zu einem monatlichen Preis von 8 US-Dollar pro Person nutzen können. Zugleich sammelt Purism über eine Crowdfunding-Kampagne Geld, um weitere solcher Dienste anbieten zu können.
Hinter Librem Mail, Librem Chat, Librem Tunnel und Librem Social verbergen sich dabei bekannte Open-Source-Technologien. So verwendet das Mail-Programm K9 mit GPG-Erweiterung, setzt Librem Tunnel auf Open VPN, Librem Social auf Mastodon und das Activity-Pub-Protokoll und verwendet der Chat Riot und die Protokolle Matrix und XMPP. Weitere geplante Dienste sind Librem Files (verschlüsselter Dateientausch), Librem Backup (verschlüsselte Cloud-Backups) und Librem Contacts (E2E-verschlüsselte Kontakte-Synchronisationen). Auch ein Bezahlservice (Librem Pay) und ein Telefon-Dienst (Librem Phone) sind geplant.
Fehlzündung
Mit letzteren gab es beim Start aber gleich Probleme, wie ein Blogpost vom Tag danach offenbarte. Wie ein Nutzer entdeckte, erlaubte es ein Bug, dass sich LDAP-Nutzer als beliebige User beim Librem Chat anmelden konnten. Dazu nötig war lediglich ein fehlender Unterstrich in einer Codezeile des “matrix-synapse-ldap3”-Plugins. Purism setzte den Dienst für 30 Minuten aus, reparierte die Lücke und entfernte existierende Access Tokens. Nutzer des Dienstes mussten sich danach neu anmelden.
Danach tat Purism, womit sich die meisten anderen Unternehmen zurückhalten und demonstrierte Transparenz. Ein Blogpost informierte die Nutzer über den Zwischenfall, lieferte nötige Details, verwies auf potenzielle Auswirkungen und erklärte den Nutzern, was sie tun können, um eventuelle Identitätsübernahmen zu bemerken. So betraf der Bug ausschließlich den Chat-Dienst und hatte, da dieser gerade gestartet war, keine Purism bekannt gewordenen Konsequenzen. Angreifer hätten sich dank des Bug im Chat als anderer Nutzer ausgeben können.
