Informatiker der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) haben sich in einer Studie mit dem unzureichenden Datenschutz von WhatsApp auseinandergesetzt. „Ich weiß genau, dass du während der Arbeit chattest!“, bringen sie eine Schwachstelle auf den Punkt.
Als grundlegendes Problem machte die Forschergruppe die enge Verknüpfung von Telefonnummer und Nutzeridentität bei Smartphone-Messengern aus. Das sollte es mühelos erlauben, mit anderen Teilnehmern augenblicklich in Verbindung zu kommen, ohne eine umständliche Einrichtung oder das formelle Einholen einer Zustimmung. Diese Bequemlichkeit setzt jedoch das Hochladen der vollständigen Adressbücher der Nutzer voraus, um bestimmen zu können, welche Kontakte über den jeweiligen Messenger-Dienst erreichbar sind.
Als beunruhigend, zumal bisher weitgehend ignoriert, empfinden die Autoren der Studie (PDF) die Möglichkeit, nur mittels einer Telefonnummer Informationen über ein bestimmtes Messenger-Konto abzufragen – ohne Zustimmung des Nutzers sowie über längere Zeit. Dafür genüge, eine Messenger-App zu starten, nachdem die entsprechende Telefonnummer dem Adressbuch des Mobiltelefons hinzugefügt wurde. Sofern die Telefonnummer beim Messenger-Dienst vertreten ist, sind über seine App Informationen über den Nutzer einzusehen wie Name, Statusmeldung, Profilbild und mehr.
Mit In-App-Monitoring automatisierten die Forscher das Datensammeln. Sie nutzten dafür Messenger-Apps auf iOS-Geräten, die sie über Runtime-Patching um Überwachungsfunktionen ergänzten. So beobachten sie mit nur wenigen Geräten 1000 zufällig ausgewählte WhatsApp-Nutzer aus aller Welt neun Monate lang rund um die Uhr und protokollierten ihr Nutzungsverhalten. Dabei wollten sie insbesondere herausfinden, was sich aus den gesammelten Informationen über den Online-Status der Nutzer ablesen lässt. Aus den Daten konnten sie beispielsweise erkennen, dass die Nutzer sich durchschnittlich 23 Mal am Tag einwählten und insgesamt 35 Minuten damit verbrachten, Nachrichten zu schreiben und zu lesen.
„Wenn über einen längeren Zeitraum beobachtet werden kann, wann ein Nutzer die App nutzt, lassen sich aus den gewonnenen Daten viele empfindliche Informationen über seine Lebensgewohnheiten rekonstruieren“, erklärt Andreas Kurtz vom FAU-Lehrstuhl für Informatik 1 (Sicherheitsinfrastruktur). Zu erfahren sei beispielsweise, wann jemand zu Bett geht, wann er aufsteht, ob er am Wochenende länger unterwegs ist – und wie oft er WhatsApp während der Arbeitszeit nutzt.
Für erschreckend hält Kurtz nicht zuletzt, dass WhatsApp bislang nichts unternahm, um ein solches Ausspähen zu verhindern. Da das eingesetzte Überwachungsprogramm selbst keine Nachrichten verschickt, Kontakt zu vielen Nutzern gleichzeitig hat und rund um die Uhr mit dem Netzwerk verbunden ist, weicht es stark vom üblichen Nutzerverhalten ab – WhatsApp hätte das Vorgehen daher leicht erkennen und unterbinden können. „Durch das Projekt möchten wir insbesondere dafür sensibilisieren, wie arglos WhatsApp mit den Daten zum Online-Zustand umgeht“, sagte der Informatiker.
Definitiv nicht über WhatsApp ausforschbar ist Winfried Materna, Mitgründer und Chef des gleichnamigen IT-Dienstleisters. Der bekennende Apple-Fan nutzt WhatsApp aus rechtlichen Gründen nicht, wie er im Gespräch mit dem Handelsblatt sagte: „WhatsApp hat mir unsere IT untersagt, weil ich dann meine Kontaktdaten aus der Hand gebe.“
WhatsApp musste hierzulande Anfang des Jahres eine Abwanderung von Teilen seiner Nutzerschaft hinnehmen. Nach Bekanntwerden der Übernahmepläne durch Facebook konnte WhatsApp-Konkurrent Threema seine Nutzerzahl innerhalb von 24 Stunden auf 400.000 verdoppeln. Wenige Wochen später betrug sie 2,8 Millionen. Offenbar sorgen sich besonders deutsche Anwender um ihre Privatsphäre, die sie durch die Übernahme durch Facebook bei WhatsApp gefährdet sahen. Anderswo scheinen solche Bedenken keine große Rolle zu spielen. Trotz Übernahme durch Facebook im Februar vermeldete WhatsApp im August einen Anstieg auf insgesamt 600 Millionen aktive Anwender.
Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
9 Kommentare zu WhatsApp: Studie bestätigt mangelhaften Datenschutz
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
ich weiß nicht was diese datenschutz panik soll… dann weiß eben irgendjemand wann und wie oft ich online bin. ist mir ganz ehrlich egal. amazon weiß was ich bestelle und was google über mich weiß will ich gar nicht wissen. wer das alles nicht will, macht sein smartphone aus und benutzt ein altes nokia. also einfach mal weniger panik machen…
Sehr guter Artikel!
An dem Tag, an dem du deine Kündigung in der Hand hälst weil du wahrend deiner Arbeitszeit privat gechattet hast, verstehst du eventuell warum „man“ so eine Panik macht um Datenschutz.
Aber wenn dir das alles so egal ist hast du ja auch keine Probleme all das was die von dir aufgezählten Konzerne von dir wissen gleich hier in deiner Antwort Preis zu geben. Natürlich mit Name, Adresse und Telefonnummer!
Sehr guter Artikel – schade, dass die verlinkte Studie in englischer Sprache verfasst ist.
Völliger Quatsch…
Die Sicherheitseinstellungen lassen sich beliebig ändern.
Mein Profilfoto und den On/Offlie-Status z.B. können nur „Meine Kontakte“ sehen.
Und wenn so manchen Paranoiker selbst das zu riskant ist, kann man die Status/Foto Anzeige komplett abschalten.
Whatsapp->Einstellungen->Account->Datenschutz
Grüße
„Mein Profilfoto und den On/Offlie-Status z.B. können nur “Meine Kontakte” sehen.“
…bist Du ganz sicher oder steht das eventuell nur so da? Oooh, meine Paranoia kehrt zurück! FB/WA ist ein Sauhaufen. Einer der wenigen Läden, denen z.B. ich noch weniger traue als Google.
Das abschalten funktioniert, sieht man bei mir in der Familie. Für mehr wird es sicher diese Überwachungsfunktion benötigen. Aber bevor hier jeder auf Whatsapp und Co zeigt, wo seid Ihr bei der staatlichen Schnüfelei? Das akzeptiert Ihr doch auch alle als „Ich habe nichts zu verheimlichen“. Gibt nur ein Unterschied zwischen Staat und Unternehmen, bei einen Unternehmen gebe ich es bewusst und freiwillig und der Staat klaut und zwingt mich.
Mfg
…abgeschaltet…hmm, für die WA-„Nutzer“ sind diese Informationen nicht mehr zu sehen. Für WA schon noch! Oder?
Na, gegen die staatlichen Schnüffler wird man nicht viel machen können, abgesehen davon, dass Du unsere ‚akzeptanz‘ einfach mal so annimmst – die ist bei mir nicht gegeben. Aber was mir noch mehr stinkt, ist, dass neben den staatlichen Schnüfflern sich einige Unternehmen anmaßen NOCH mehr zu schnüffeln – und dazu gehören (nach Gefährlichkeit geordnet) ganz klar Google, Facebook Microsoft und … dann erst mal lange Zeit niemand, wobei Microsoft einfach wegen seines Desktop Quasimonopols nicht ungefährlich ist.