Ich finde den Artikel in privacy-handbuch eher unverständlich. Zuerst erklären sie, dass die Nachrichten auf einem Server (in diesem Fall dem Server von Nitrokey) liegen und daher "könnte jeder Dorf­polizist.." und danach wird erklärt, dass Nachrichten standardmäßig Ende-zu-Ende verschlüsselt sind. Das Argument gegen Web-Clients stimmt natürlich, daher sollte man bevorzugt lokale Software verwenden. Ja, auf Android solltest du RiotX verwenden, das ist auch der Fokus der künftigen Entwicklung. Meine Einschätzung: Wenn du nicht von einem zentralen Server abhängig sein willst, ist Matrix/Riot aktuell deine beste Wahl.