Ich finde den Artikel in privacy-handbuch eher unverständlich. Zuerst erklären sie, dass die Nachrichten auf einem Server (in diesem Fall dem Server von Nitrokey) liegen und daher "könnte jeder Dorfpolizist.." und danach wird erklärt, dass Nachrichten standardmäßig Ende-zu-Ende verschlüsselt sind. Das Argument gegen Web-Clients stimmt natürlich, daher sollte man bevorzugt lokale Software verwenden.
Ja, auf Android solltest du RiotX verwenden, das ist auch der Fokus der künftigen Entwicklung.
Meine Einschätzung: Wenn du nicht von einem zentralen Server abhängig sein willst, ist Matrix/Riot aktuell deine beste Wahl.