Sicherheitslücken bei WhatsApp, surprise!

Mehr als 10 Milliarden Nachrichten werden täglich über WhatsApp gesendet, einen proprietären Instant-Messaging-Dienst für Smartphones. Diverse, schwerwiegende Sicherheitslücken gab es bereits: Von unverschlüsselter Kommunikation über Möglichkeiten des Hijackings bis hin zum unverschlüsselten Senden des Telefonbuchs an einen amerikanischen Server.

WhatsApp versprach Besserung, legte bei der Verschlüsselung nach, schloss einige der Sicherheitslücken – aber nicht alle, und das rief nun die Datenschutzbehörden in Kanada und den Niederlanden auf den Plan. Eine gemeinsame Untersuchung (inoffizielle Übersetzung) ergab, dass WhatsApp Zugriff auf das komplette Telefonbuch des Nutzers hat, auch auf diejenigen Kontakte, die WhatsApp nicht nutzen und dass diese Informationen ohne vorherige Zustimmung auf WhatsApp-Servern gespeichert werden. Dieses Fehlen einer Kontrollmöglichkeit für Nutzer wie auch Nicht-Nutzer verstoße gegen kanadische und niederländische Datenschutzgesetze, so der Vorsitzende der niederländischen Datenschutzbehörde, Jacob Kohnstamm. Beide sollten vielmehr die Möglichkeit haben zu entscheiden, welche persönlichen Daten sie von sich und ihren Freunden an WhatsApp weitergeben möchten.

Beide Datenschutzehörden wollen die Fortschritte bei WhatsApp auch weiterhin beobachten, die niederländische Behörden will bei fehlender Nachbesserung auch Strafen verhängen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

15 Ergänzungen

  1. Das hört sich für mich nicht nach einer Sicherheitslücke an, die Angreifer ausnutzen könnten, sondern einfach nach einem Privatsphäre-Einstellungs-Problem…

    1. Haha, „Privatsphären-Einstellungs-Problem“ ist doch nur ein Euphemismus für „Sicherheitslücke“. Kleine Analogie gefällig? Nehmen wir mal an, ein Herr Wassup besäße plötzlich den Schlüssel zu meiner Wohnung. Er könnte also in meiner An- oder Abwesenheit hineinspazieren und sei es auch nur, um sich erst mal umschauen, Fotos von meinem Schreibtisch zu machen, mein Adressbuch durchforsten, etc.. Wäre das dann Deiner Meinung nach als Sicherheitslücke oder als fehlende Privatsphären-Einstellung zu bezeichnen?

      1. Na, dann hast du Herrn Wassup ja deinen Schlüssel gegeben. Also ein Privatsphäre-Einstellungs-Problem.

  2. Für mich ist das auch eher eine fehlende Möglichkeit in den Privatsphäre-Einstellungen und keine Sicherheitslücke – aber nennt es, wie ihr wollt, denn WhatsApp wird es abändern müssen.

    1. Wenn durch fehlende Einstellungsmöglichkeiten Daten ungewollt weitergegeben werden (ungewollt vom ursprünglichen „Besitzer“ der Daten), dann ist dies eine Lücke im Sicherheitskonzept bezüglich der Daten, ergo eine Sicherheitslücke. Alles andere ist nur Schönrederei weil man ja doch nicht einsehen will das die ach so bequeme Cloud auch Nachteile hat.
      Diese Praxis ist übrigens leider Standard…wer kann sich noch an den Skandal um den Dienst „Path“ erinnern? ;-) Ich sehe aber auch die Betriebssystemhersteller in der Pflicht – statt bei der Installation der App den Datensammlungen zuzustimmen sollte man lieber beim ersten Aufruf bestimmter Daten durch ein Popup explizit nach dem jeweiligen Datensatz gefragt werden – bei Verneinung bekommt die App dann Dummy-Datensätze vorgeworfen. Die App „LBE Security“ für Android geht z.B so vor und erledigt ihren Job prima.

  3. Was ist daran jetzt neu? Wozu brauchte es jetzt steuerfinanzierte Untersuchungskomitees um etwas festzustellen, was einem eine Googlesuche sagt?

    1. „die niederländische Behörden will bei fehlender Nachbesserung auch Strafen verhängen.“
      Das kann deine Googlesuche nicht

      1. Und was für eine Strafe wird das sein? 50000€ oder sonstwas, was nicht im Verhältnis zu
        1.) dem Eingriff in die Rechte Unbeteiligter oder
        2.) dem Umsatz, der mit den Daten (auch von den Unbeteiligten) gemacht wird
        steht?
        Es wäre mir sch… egal, wenn die Leute nur ihre eigenen Daten zum Abschuss freigeben, aber ich habe keinen Bock, durch das blosse Abschnorcheln eines Adressbuches eingeordnet und in einen irgendwiegearteten Zusammenhang gebracht werden zu können, nur weil mein Name oder schlimmer noch, meine Mailadresse drinsteht.
        Und nein, die Googlesuche über mich (auch mit Realnamen) bringt nicht ansatzweise die Informationen über mich, die der Abgleich von ein paar Adressbüchern liefern kann.

      2. @Olli: Schaffen wir doch einfach den Staat ab, in der Wikipedia steht auch wie eine Demokratie funktioniert, wozu brauchen wir da noch eine Regierung?
        Es geht nicht darum was i nder Pressemitteilung steht, sondern darum das nur diese Behörden Konsequenzen erzwingen können. Die Nutzer eigentlich auch, aber die meisten pfeifen ja auf Datenschutz…
        @irgendeiner: Jetzt warten wir doch einfach mal ab. Ich frage mich eh ob eine Strafe der niederländischen Behörden bei einer US-Firma überhaupt durchgesetzt werden kann, aber z.B. eine Strafe von 1000 USD pro geklautem Datensatz eines niederländischen Users wäre doch sicher ein nettes Sümmchen. Vielleicht kommt ja die EU noch auf den Trichter US-Cloudanbieter vom Markt zu mobben um europäische Dienste zu etablieren auf die dann die europ. Behörden Zugriff haben…fuck off Safe Harbour, wir klauen uns unsere Daten selbst!

  4. Der Erfolg von WhatsApp beruht einzig darauf, dass die Telefonbücher abgeglichen werden. Dadurch muss man seine Bekannten nicht erst hinzufügen. Wer das nicht will, nimmt Jabber.

    WhatsApp lässt sich nicht mit Persönlichkeitsrechten vereinbaren. Selbst ein neuer Client, der vor der Weitergabe des Telefonbuches fragt, würde dem Unternehmen nur unwesentlich weniger Daten über unbeteiligte Dritte geben. Es reicht nämlich, wenn jeder zehnte sein Telefonbuch kopiert.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.