Menü
Update
Security

WhatsApp erweitert Einstellungen zur Privatsphäre und bleibt trotzdem unsicher

Der Schutz der Privatsphäre bleibt in WhatsApp löchrig: Zwar können andere Nutzer durch das neueste Update nicht mehr sehen, wann man zuletzt im Chat online war, aber die Chats können wohl komplett durch andere Android-Apps ausgelesen werden.

vorlesen Drucken Kommentare lesen 122 Beiträge

Der Messenger-Dienst WhatsApp hat in seiner Version für Android-Geräte neue Einstellungen zur Privatsphäre eingeführt. Nutzer können nun unterbinden, dass andere Menschen den letzten Zeitpunkt ihrer Online-Aktivität ansehen können. Außerdem können sie das eigene Profilbild sowie ihre Statusanzeige sperren. Bisher war es lediglich möglich, andere Nutzer komplett zu blockieren. Ein Grundproblem dürfte aber bestehen bleiben. Laut Aussage des Informatikers Bas Bosschert, können andere Android-Apps die WhatsApp-Chatnachrichten komplett auslesen.

WhatsApp legt seine Daten auf der SD-Karte ab, einem Bereich, der durch das Android-Rechte-System nur sehr wenig geschützt ist. Insbesondere kann jede App, die das grundsätzliche Recht hat, die SD-Karte zu nutzen, auch auf die Daten aller anderen Apps zugreifen, die dort abgelegt sind. Das dafür bei der Installation anzufordernde Recht zum Zugriff auf die Karte würden wohl die meisten Anwender bedenkenlos gewähren. Bosschert hat eine simple Demo-App geschrieben, die die WhatsApp-Datenbank-Dateien msgstore.db, wa.db und msgstore.db.crypt ausliest und auf einen externen Web-Server hochlädt.

Selbst die vor einiger Zeit von WhatsApp eingeführte Verschlüsselung der Nachrichten (msgstore.db.crypt) lässt sich leicht umgehen. Zwar ist das verwendete AES-Verfahren durchaus sicher; aber wie bereits vor einiger Zeit dokumentiert wurde, verwendet WhatsApp als statischen 192-Bit-Schlüssel immer

346a23652a46392b4d73257c67317e352e3372482177652c

Somit lässt sich die verschlüsselte Datenbank also dechiffirieren und dann auch leicht auswerten, erklärt Bosschert. Der Informatiker schließt seine Untersuchung mit der Aussage ab, dass Facebook Whatsapp gar nicht hätte kaufen müssen, um an die Chats der Nutzer zu kommen.

Das Online-Netzwerk Facebook kündigte Ende Februar an, WhatsApp für 19 Milliarden Dollar kaufen zu wollen. Beide Firmen betonten, an dem WhatsApp-Dienst solle sich auch nach dem Kauf nichts ändern. Verbraucherschützer aus den USA haben der Übernahme aber schon Steine in den Weg gelegt.

Sie befürchten, dass nach der Übernahme auch WhatsApp-Kundendaten für mehr Reklame genutzt werden könnten – eine Praktik, für die Facebook schon mehrfach seine Geschäftsbedingungen geändert hat. Dabei hätten sich laut der Beschwerde viele der rund 450 Millionen WhatsApp-Nutzer gerade deswegen für den Messenger entschieden, weil ihre Daten nicht verwendet werden. Deshalb solle die US-Handelsaufsicht FTC prüfen, ob es durch die Übernahme zu "unfairen und täuschenden Geschäftspraktiken" kommen könne.

Die neue WhatsApp-Version wurde derweil am Montag in Googles App-Laden Google Play veröffentlicht. Mit dem Update hat WhatsApp auch eine weitere Neuheit eingeführt: Ein Geschenkabo. Der Dienst ermöglicht es ab sofort, für 89 Cent einem anderen Nutzer für ein Jahr die Nutzung zu bezahlen. WhatsApp ist für die ersten 12 Monate kostenlos, danach kostet ein Jahresabo 89 Cent.

Die neueste WhatsApp-Version 2.11.186 verschlüsselt Backups mit einem Schlüssel, der anscheinend für jeden Nutzer einzeln erzeugt wird. Diese Schlüsseldatei endet auf .crypt5 und kann mit Bosscherts Methode nicht mehr entschlüsselt werden. Bosschert sagt, er habe diese Version getestet, bevor er sein Proof-of-Concept veröffentlicht habe. Beim ihm habe die App keinen solchen einzigartigen Schlüssel angelegt. Er wolle die neue Verschlüsselung jetzt noch einmal prüfen.

Die Macher einer Statistik-Software für WhatsApp behaupten in einem Kommentar zu Bosscherts Blog-Artikel allerdings, sie könnten WhatsApps neue Verschlüsselung ebenfalls knacken. Damit wäre das Auslesen der Backups durch Apps von Dritten nach wie vor möglich. (mit Material der dpa) / (kbe)