27 Die Spionage-App

Der Kurznachrichtendienst WhatsApp verschickt Handy-Nachrichten kostenlos. Doch es gibt mindestens drei Gründe, trotzdem auf das Angebot zu verzichten.

 

von Alisa Ruprecht

Es gibt eine Ansicht, die sicher fast jede Smartphone-Nutzerin und fast jeder Smartphone-Nutzer teilen würde: Wer heute noch einen überdimensional großen Handyvertrag abschließt, nur um ihn inklusive einer SMS-Flatrate zu erhalten, scheint nicht besonders clever zu sein. Und auch diejenigen, die nach wie vor bis zu 19 Cent für jede einzeln verschickte SMS bezahlen, können einem doch eigentlich nur leidtun. Denn im Zeitalter von preiswerten bis kostenlosen Apps und anderweitig günstig bereitgestellten Instant Messaging Diensten sind solche Unkosten zwischenmenschlicher Kommunikation schließlich zumindest reduzierbar, wenn nicht gar komplett vermeidbar.

Das prominenteste Beispiel solch einer günstigen SMS-Alternative ist der Handy-Kurznachrichtendienst WhatsApp. Er ist eine der meistverkauften iPhone-Apps und auch Marktführer unter den Messaging Diensten. Die App läuft nicht nur auf Apple IOS, sondern ist auch für Android, Blackberry, Windows Phone und Nokia verfügbar. Die Userzahlen weltweit steigen stetig an. Inzwischen werden täglich mehrere Milliarden Kurznachrichten über WhatsApp verschickt.

Für die Nutzung von WhatsApp spricht, dass der Dienst ausgesprochen günstig ist. Das Versenden der SMS-Nachrichten wird im Grunde fast kostenlos bereitgestellt. Lediglich Nutzerinnen und Nutzer von Apple müssen den Entwicklern einmalig 79 Cent zahlen, für andere Betriebssysteme fällt erst nach dem ersten Nutzungsjahr eine ähnlichwertige Gebühr an. Im Vergleich zu dem, was Handybetreiber in der Regel pro verschickter Kurznachricht von ihren Kunden einziehen, können sich diese Zahlen also durchaus sehen lassen. Außerdem bietet WhatsApp die Möglichkeit, über das Versenden von Textnachrichten hinaus, Fotos hin- und herzuschicken, Audio- und Videodateien zu tauschen sowie in einen Gruppenchat einzutreten – und das alles ohne störende Werbung.

Gegen die Nutzung von WhatsApp spricht aus Sicht des Berliner Informatikers Henning Tillmann alles, irgendwie. Vor allem aber die folgenden drei Gründe, die deutlich machen können, wo bei WhatsApp der Datenschutz aufhört und die Sicherheitslücken anfangen.

1. Eine Frage des Datenschutzes: Datenklau unumgänglich

WhatsApp sammelt Telefonnummern. Nicht nur diejenigen des jeweiligen Smartphone-Besitzers, der sich die Applikation auf das Handy lädt, sondern auch diejenigen sämtlicher Freunde, Verwandten und Bekannten. Denn bei der Erstanwendung des Dienstes wird das gesamte Telefonbuch des Nutzers oder der Nutzerin auf den Server des Betreibers hochgeladen – inklusive der Telefonnummern der Personen, die gar nicht bei WhatsApp sind, es noch nie waren und vielleicht auch niemals sein werden. Das muss man den App-Betreibern erlauben, um den Dienst überhaupt verwenden zu können.

Widerspruchsmöglichkeiten? Fehlanzeige.

Die Möglichkeit, den Datenzugriff nur auf bestimmte Telefonnummern einzuschränken? Auch nicht.

„Was da passiert, ist nicht zur Nutzung oder zur Bereitstellung des Dienstes notwendig, sondern es handelt sich einfach nur um Datensammelei“, sagt Henning Tillmann.

Und er weist auf einen nicht unwesentlichen Aspekt in diesem Zusammenhang hin: „Was passiert eigentlich mit den Daten meiner Freunde, Bekannten und Arbeitskollegen – darf ich mit diesen Daten eigentlich umgehen, darf ich sie verwenden, darf ich sie weitergeben? Ich darf es eigentlich nicht ohne die Zustimmung der anderen. Lustigerweise steht genau das in den Geschäftsbedingungen von WhatsApp. Da steht drin, man darf WhatsApp nur dann nutzen, wenn man die Einverständniserklärung seiner Freunde hat, dass die Daten verwendet werden dürfen. Ich stelle mir das in der Praxis sehr lustig vor, dass man vorher 400 Leute anrufen soll und fragt, ob man das nutzen darf. Vor allen Dingen, wenn einer nein sagt, kann ich WhatsApp nicht mehr nutzen, denn man hat nicht die Auswahlmöglichkeit, dass man bestimmte Personendaten nicht hochlädt. Entweder alle oder keine. Das kann nicht sein und das ist einfach ein Witz. Dementsprechend ist es also ein Problem, wenn Apps einfach Daten von Dritten verwenden und hochladen.“

2. Eine Frage der Privatsphäre: Bespitzelungsmöglichkeit für jedermann

Die Schnüffel-App WhatsApp Sniffer ist immer noch im Umlauf. Wer sie besitzt, kann jede beliebige Chat-Unterhaltung über WhatsApp mitverfolgen. In Echtzeit und auf dem eigenen Handy. Dorthin werden die fremden Chatnachrichten nämlich projiziert, so dass sie live mitgelesen werden können. Einzige Voraussetzung: Die WhatsApp-Nutzer müssen über ein öffentliches WLAN kommunizieren und der Ausspäher oder die Ausspäherin muss sich in demselben WLAN-Netz befinden. Und schon hat sich die Privatheit der vertraulich geglaubten Kommunikation erledigt.

Zwar ist die Android-Anwendung WhatsApp Sniffer inzwischen aus dem Download-Bereich des Google Play Stores entfernt. Aber wer sie bereits auf seinem Handy installiert hat, kann sie auch weiterhin nutzen. Jederzeit und an jedem Ort.

Außerdem kann nicht ausgeschlossen werden, dass die App auf anderen Online-Plattformen noch immer zur Verfügung steht und vielleicht sogar nach wie vor heruntergeladen werden kann. „Zur Installation des WhatsApp Sniffer sind lediglich Root-Rechte sowie die entsprechende APK-Datei erforderlich. Letztere wurde zwar aus dem App-Laden Google Play verbannt, lässt sich mit einer Google-Suche aber problemlos finden“, kritisieren etwa die Technikverantwortlichen von Chip Online.

3. Eine Frage der Sicherheit: Identitätsdiebstahl leicht gemacht

Der eigene WhatsApp-Account ist nicht einfach nur angreifbar. Er kann in wenigen Schritten komplett übernommen und zum Senden und Empfangen von Nachrichten missbraucht werden. Dafür muss der oder die Angreifende noch nicht einmal ein besonders gewiefter Hacker sein. Das haben vor kurzem aktuelle Sicherheitstests des IT-Nachrichtentickers Heise Security ergeben.

Demnach reichen ein paar wenige, leicht zu beschaffende Informationen aus, um im Namen eines anderen Kontakt zu dessen Freunden, Bekannten und Arbeitskollegen aufzunehmen, sie anzuschreiben, mit ihnen zu kommunizieren oder sogar wichtige Informationen abzufragen – und natürlich zu erhalten. Denn die Kontaktierten selbst merken davon nichts. Sie glauben, eine bekannte Person vor sich zu haben und mit dieser zu korrespondieren.

„WhatsApp verwendet generell unverschlüsselte Kommunikation. Der Benutzername ist die Telefonnummer und das Kennwort ist entweder die Geräte-ID oder beim iPhone die WLAN-ID, also die Mac-Adresse. Das sind einfach Daten, die – gerade beim iPhone – wunderbar mitzuschneiden sind. Denn immer, wenn man mit einem iPhone unterwegs ist und sich irgendwo aufhält – man muss gar nicht mit einem WLAN verbunden sein – wird diese WLAN-Mac-Adresse rausgesendet, weil das iPhone einfach nach umstehenden WLANs sucht, um sich gegebenenfalls damit zu verbinden. Diese Mac-Adresse kann ich einfach mitschneiden. Da braucht man keinen WhatsApp Sniffer, da gibt es ganz normale andere Sniffing-Tools“, verurteilt Henning Tillmann die Sicherheitslücken bei WhatsApp, die er auch auf seiner Homepage in einem Video darstellt. „Wenn man dann die Telefonnummer kennt, kann man sich wunderbar einloggen und über WhatsApp Nachrichten an andere Personen schicken – unter der Kennung des übernommenen Accounts. Und das Interessante ist sogar, wenn man dann eine Antwort bekommt, wird die auch an den anderen Rechner geschickt und nicht an das Handy, zu dem der Account eigentlich gehört. Das heißt, man kann Konversationen führen und die Person des übernommenen Accounts bekommt davon gar nichts mit. Also eine riesige Sicherheitslücke, die an zwei Problemen liegt: Einerseits unverschlüsselte Kommunikation. Und andererseits an einer Authentifizierung ohne wirklich sicheres Kennwort, sondern mit der Mac-Adresse des WLAN-Moduls, die jeder wunderbar mitlesen kann.“

Fazit: Gefährliches Spionagewerkzeug

Sicherheitstechnisch ist WhatsApp eine Katastrophe. Ein ungeschützter Instant Messaging Dienst, der jederzeit ausgenutzt und in ein gefährliches Spionagewerkzeug umfunktioniert werden kann. Ein Datenübertragungstool, bei dem der Nutzer oder die Nutzerin nie weiß, wer die verschickte Nachricht mitliest oder die Fotos sieht, die eigentlich nur an den engsten Freund gesendet werden sollten – wenn man denn gerade überhaupt mit diesem engen Freund und nicht mit einer anderen Person kommuniziert, die sich vielleicht einfach nur in den Account des Freundes eingehackt hat. Eine Software, die sogar die Festnetznummer der eigenen Großeltern als zu sammelnde Daten ansieht und diese deshalb speichert – auf irgendeinem Server, irgendwo in den USA.

Vielleicht sollten reflektierte Userinnen und User nach besseren oder zumindest besser geschützten Möglichkeiten suchen, wenn ein günstiger oder gar kostenloser Nachrichtenaustausch das Ziel sein soll. Der Fernsehsender n-tv etwa schlägt auf seiner Website als Alternativen für WhatsApp folgende Anwendungen vor: mySMS, Joyn, Kik, IM+, Yuilop oder Skype. Da lohnt es sich doch als Smartphone-Besitzer und Smartphone-Besitzerin, sich mit dem einen oder anderen Dienst vielleicht zumindest einmal tiefergehend auseinanderzusetzen.


 

Im Audio-Interview mit Alisa Ruprecht spricht Henning Tillmann über fehlenden Datenschutz und Sicherheitslücken bei WhatsApp und gibt Tipps zum Umgang mit modernen Medien.

Das Interview gibt es hier zu hören.

Die Daten meiner Freunde – muss ich mir darüber jetzt auch noch Gedanken machen? Diskutieren Sie mit auf www.digitalbuerger.de

License

mediaCamp 2012 - #rahmenwechsel Copyright © 2012 by MIBB. All Rights Reserved.

Feedback/Errata

Leave a Reply

Your email address will not be published. Required fields are marked *