Android
Um unter Android die Threema-App im Hintergrund darüber zu informieren, dass neue Nachrichten eingegangen sind, steht Threemas eigener und unabhängiger Push-Service «Threema Push» zur Verfügung. Dieser verursacht keinerlei Metadaten bei Drittanbietern.
Ansonsten verwendet Threema das auf dem Gerät vorinstallierte Firebase Cloud Messaging (FCM) von Google (bzw. das Push Kit (HMS) von Huawei). Die Nachrichten holt sich die App dann selbstständig direkt von den Threema-Servern, entschlüsselt diese und zeigt lokal eine Benachrichtigung an. Es werden weder Inhalte noch Details über die Nachrichten via FCM übertragen (der FCM-Payload ist also leer). Jegliche in Firebase enthaltenen Analyse- und Tracking-Komponenten wurden entfernt.
iOS
Threema verwendet den Apple Push Notification Service (APNS), um Empfänger mit iOS über neue Nachrichten zu informieren, wenn diese die App geschlossen bzw. im Hintergrund haben. Die APNS-Nachricht enthält einen Payload, der mit einem symmetrischen Schlüssel verschlüsselt ist, welcher zwischen der App und den Threema-Servern ausgehandelt wird und Apple nicht bekannt ist.
Innerhalb dieses verschlüsselten Payloads werden die Threema-ID und der Nickname des Absenders, die Nachrichten-ID, sowie die Tatsache, ob es sich um eine Einzelnachricht oder um eine Gruppennachricht handelt, übertragen.
Die Threema-App wird bei einer eingehenden Push-Benachrichtigung im Hintergrund aktiv, entschlüsselt den Push-Payload, holt sich die Nachricht direkt von den Threema-Servern, entschlüsselt auch diese und zeigt danach lokal eine Nachrichtenvorschau (sofern eingeschaltet) sowie den Kontaktnamen des Absenders an.
