Bereits seit längerem berichten wir in regelmäßigen Abständen über die technischen (Miss-)Entwicklungen bei WhatsApp. Wie Spiegel Online in seinem aktuellen Artikel berichtet, hat nun ein Turiner Student ein Skript geschrieben, mit dessen Hilfe sich WhatsApp in ein Überwachungstool umfunktionieren lässt.
Der Inhalt im Überblick
Wer ist Flavio Giobergia?
Flavio Giobergia ist ein 21-jähriger Student aus Turin, der an der Polytechnischen Universität von Turin im Fach Computer Engineering studiert.
Angeregt durch die andauernde Diskussion über Datenschutz und Überwachung in sozialen Netzen stellte Giobergia kürzlich folgende Frage:
while everybody (okay, not everybody) cares about their privacy on social networks, few are the ones who stop and think about their privacy on apps we use every day.
Diese Überlegung nahm er zum Anlass, sich näher mit der App von WhatsApp zu beschäftigen. Giobergia ruft uns eindringlich ins Gedächtnis, wie umfassend das Datenvolumen und die Aufzeichnung persönlicher Daten von WhatsApp sein dürfte und wie verheerend es für den Einzelnen wäre, wenn hier ein Datenschutzleck bestünde.
Was Giobergia herausfand, erstaunt einen erfahrenen Datenschützer eigentlich nicht mehr, bestätigt es doch den grundsätzlichen Verdacht, dass Datenschutz bei WhatsApp nicht gerade einen hohen Stellenwert einnimmt.
Der WhatsApp Status: Sag mir was Du tust
Eine Zusatzfunktion bei WhatsApp, die viele Nutzer lieben, ist die Statusanzeige, die dem Gesprächspartner anzeigt, ob sein jeweiliges Gegenüber online oder offline ist und ob dieses ggf. gerade eine Antwort eingibt und wann er zuletzt online war. Erstere Information teilt WhatsApp bei default jedem Nutzer mit.
Die Status-Funktion gibt dem Nutzer das Gefühl, von einer passiv erwartenden Position aktiver in das Geschehen eingebunden zu sein. Nachteilig ist allerdings, dass jeder befreundete WhatsApp-Nutzer so über den aktuellen Status informiert ist.
Um seine Privatsphäre zu schützen, kann jeder Nutzer, so WhatsApp, diese Status-Funktion auszuschalten und sein Nutzerverhalten ist dann angeblich für niemanden mehr sichtbar. Dies gilt allerdings ausschließlich für die Zuletzt-online-Anzeige, wie Heise Online in einem Selbsttest bestätigt.
Nutzungsprofil per Script
Wie Giobergia nun herausfand, sind solche Status-Informationen jedoch selbst dann für andere auffindbar, wenn diese durch den Nutzer ausgeschaltet wurden.
Mithilfe eines kurzen Skripts wäre es Dritten, die noch nie mit dem Betroffenen in Kontakt standen möglich, ein komplettes Nutzungsprofil eines jeden WhatsApp-Nutzers zu erstellen und daraus weitere Schlüsse zu ziehen. Alles, was man dazu braucht, ist die Mobilfunknummer des Betroffenen.
Überwachung via WhatsApp – so geht’s
Wie eine Überwachung via WhatsApp im Ansatz funktionieren kann, beschreibt Giobergia in seinem dreizehnseitigen White-Paper mit dem bezeichnenden Titel „WhatsApp monitoring for Fun and Stalking“.
Hierin führt er aus, wie er über ein selbst verfasstes Skript, mit Hilfe eines Screenshots der App-Status-Anzeige und den darin enthaltenen ASCII-Informationen den Status eines bestimmten Nutzers ermitteln kann und so, durch eine über einen längeren Zeitraum erfolgende Auswertung ein Nutzerprofil erstellt. Zur Identifikation des Nutzers und des Gerätes benötigt Giobergia sodann nur noch die Mobilfunknummer des betreffenden Mobilfunktelefons.
Hierzu führt Heise aus:
Um den Online-Status einer beliebigen Rufnummer abzurufen, muss man diese lediglich zu den Kontakten hinzufügen und ein Chat-Fenster öffnen. Der Besitzer der Rufnummer bekommt davon nichts mit und muss auch nichts bestätigen.
Fazit
Neben den bekannten Sicherheitslücken finden sich bei WhatsApp stets neue Schwachstellen, so dass der Einsatz von WhatsApp aus Datenschutzsicht sehr kritisch zu betrachten ist.
Fazit: im Westen nichts neues. Interessiert nur leider kaum jemanden außerhalb der DS-Szene.
Immerhin können wir, wenn auch noch die letzten Details aus Orwells 1984 inkraft treten, behaupten, dass wir von Anfang an davor gewarnt haben ^^