#!/bin/blog

June 9, 2011

WhatsApp: Datenkraken-Mythos

Filed under: Internet — Tags: , — martin @ 7:18 am

Da habe ich mich auf $MAILINGLISTE in eine schöne Schlacht reinziehen lassen. Die Grundaussage war ein bei irgendeinem hysterischen Panikblogger aufgeschnapptes Gerücht über den Datenschutz bei WhatsApp:

WhatsApp kopiert das Adreßbuch von Deinem Handy. Wen Du es nutzt, bist Du ein Idiot, der seine gesamten Adreßbuchdaten irgendeiner amerikanischen Firma in den Hals wirft.

Bleiben wir doch mal bei dem was wir aus erster Hand wissen und in Erfahrung bringen können:

  • WhatsApp ist ein plattformübergreifend (iPhone, Android, Symbian, Blackberry) verfügbares Chatprogramm fürs Handy, bei dem der Chatpartner über seine Handynummer adressiert wird.
  • WhatsApp bestätigt die eigene Handynummer per SMS, damit man mitmachen darf.
  • Die FAQ beantwortet die Frage danach, warum WhatsApp die Handynummer benötigt, wie folgt: “Weil sie zur Adressierung verwendet wird.” – Doh. Captain Obvious läßt grüßen. 😉
  • WhatsApp stellt innerhalb der WhatsApp-Applikation eine Liste von potentiell interessanten Kontakten zusammen, indem es irgendwie(tm) ermittelt, ob die Kontakte aus dem Adreßbuch ebenfalls WhatsApp nutzen.
  • Die Privacy Notice von WhatsApp weist ausdrücklich darauf hin, daß der Name zur eigenen Telefonnummer, der auf der Gegenseite angezeigt wird, dort aus dem lokalen Telefonbuch gezogen wird. (Das kann man anhand von Schreibfehlern leicht bestätigen.)
  • Regelungen hinsichtlich werblicher Nutzung (opt-out oder opt-in), Weitergabe an Dritte (nein), an Strafverfolger (ja), im Konkursfall (ja), werden in USA-üblicher Art abgehandelt, ohne irgendwelche Auffälligkeiten.
  • Die Privacy Notice weist generell auf einige allgemeine Themen hin, wie z.B.: “Wenn Du eine Telefonnummer (z.B. vom Festnetz) in Deine Statusmeldung schreibst, kann diese jeder sehen, der Deine Handynummer kennt, und sie ggf. sogar aufschreiben.”
  • WhatsApp ist kein 100% kostenloser Service, sondern beim Kauf bzw. im Betrieb werden Zahlungen fällig.

Theoretisch könnte man mit WhatsApp seine Kontakte adressieren, indem man die jeweilige Telefonnummer des Partners eingibt. WhatsApp stellt aber direkt nach dem Start eine Liste von Kontakten zusammen, die es ebenfalls nutzen. Ich nehme an, daß es bei den Datenschutzgerüchten um genau diese Zusammenstellung geht.

Klar ist, daß die Zusammenstellung der Kontaktliste irgendwie durchgeführt werden muß, indem ein Abgleich aller im eigenen Telefonbuch eingetragenen Telefonnummern mit dem Anbieter durchgeführt wird. Dieser erwähnt aber weder in der Privacy Notice noch in der FAQ, daß Telefonnummern Dritter übertragen werden.

Technisch ist ein solcher Abgleich dennoch möglich, indem etwa Hashes (Prüfsummen) der Telefonnummern abgeglichen werden, ohne daß die Telefonnummern selbst an WhatsApp übertragen werden. Da es keine Erwähnung gibt, will ich annehmen, daß ein solches Verfahren zum Einsatz kommt. Aber auch dazu ist natürlich Zugriff aufs Adreßbuch erforderlich.

Wer ausgeprägte Datenschutzbedenken hat, muß sich bei Zugriffen auf seine Adreßdaten in jedem Fall fragen, ob er der jeweiligen Applikation vertrauen will. Hacks, Exploits, CIA-Backdoors, und daß wir im Hintergrund einfach an den Nutzungsbedingungen vorbei verarscht werden, ist natürlich alles denkbar, aber wir betrachten hier die “zugesicherte” Funktionalität des Programms.

Man sollte sich des weiteren vor Augen führen, daß WhatsApp an jedem Nutzer bares Geld verdient. Die Frage “Verdienen die eigentlich ihr Geld irgendwie zu meinen Lasten?” mit damit verbundenen düsternen Vermutungen kann hier also entfallen. Wohlgemerkt im Gegensatz zu Facebook, Google und Twitter.

Im Fall von WhatsApp gestaltet sich die Lage aus meiner Sicht so:

Es wird nirgends ausdrücklich darauf hingewiesen, daß Adreßbuchdaten übertragen werden. Erwiesen und von WhatsApp dokumentiert ist aber, daß auf Empfängerseite die Zuordnung eines Namens zur Rufnummer aufgrund des lokalen Adreßbucheintrags vorgenommen wird. Es ist daher unwahrscheinlich, daß die Applikation mehr tut, als auf Verdacht Telefonnummern von Adreßbucheinträgen gegen einen zentralen Server abzuprüfen, um zu ermitteln, ob dahinter ebenfalls ein WhatsApp-Nutzer steckt.

In der Privacy Notice von WhatsApp ist jedoch mit keinem Wort erwähnt, daß Telefonnummern Dritter übertragen werden. Da ein Abgleich z.B. mit Hilfe von Prüfsummen technisch möglich ist, ohne die Telefonnummer selbst zu übertragen, ist es wahrscheinlich zumindest denkbar, daß auch keine Übertragung stattfindet.

(Nachtrag, 9. Juni 2011: WhatsApp stellt in der Privacy Notice sehr wohl klar, daß es die Telefonnummern der Gesprächspartner benötigt, mit denen man kommunizieren will. Aus dieser vollkommen offensichtlichen Feststellung läßt sich aber wiederum nicht ableiten, daß alle Telefonnummern aus dem Adreßbuch im Vorhinein an WhatsApp übertragen werden.)

Weitergehende Aussagen wären vermutlich nur möglich, indem man den Sourcecode der Software auf den Datenschutzaspekt hin auditieren würde. Die Möglichkeit, daß WhatsApp uns alle hinters Licht führen könnte, besteht. Aber diesen Vorbehalt muß man letztlich bei jeder Software haben, die man auf dem Handy ausführt.

Mein Fazit, das ich aus diesen Beobachtungen gezogen habe, ist, daß ich glaube, WhatsApp nutzen zu können, ohne Schuldgefühle wegen der Daten meiner Kontakte im Adreßbuch haben zu müssen.

Update, 18. Juni 2011: Siehe auch: WhatsApp: Protokollanalyse

Advertisements

9 Comments »

  1. “Mein Fazit, das ich aus diesen Beobachtungen gezogen habe, ist, daß ich glaube, WhatsApp nutzen zu können, ohne Schuldgefühle wegen der Daten meiner Kontakte im Adreßbuch haben zu müssen.”

    Warscheinlich sind auch alle Eigentümern der von Dir gesammelten Daten damit einferstanden!?

    Comment by K. — June 11, 2011 @ 4:53 pm

  2. An den Tuppfehlern ist ja leicht zu erkennen, dass es sich da um einen Namensvetter handelt – da muss ich mich nicht distanzieren.

    Comment by K. (der echte(TM)) — June 11, 2011 @ 9:42 pm

  3. […] Die Geschichte über die “Datenkrake WhatsApp” hat mir keine Ruhe gelassen, so daß ich einen Laboraufbau für eine kooperative Man-in-the-Middle-Operation mit Squid 3.1 aufgesetzt habe. Dank dessen Features für Content-Filter, Virenscan usw. konnte ich die SSL-Kommunikation von WhatsApp entschlüsseln. […]

    Pingback by WhatsApp: Protokollanalyse « #!/bin/blog — June 18, 2011 @ 12:33 pm

  4. Whatsapp wird sterben…mit iOS 5 ,….wenn apple die iMessage rausbringt, das ist genau Whatsapp nur nativ integriert…..
    so schnelll kann eine Geschaeftsidee geklaut werden 😀

    Comment by info@dainingu.com — June 27, 2011 @ 8:07 pm

    • Weil die Welt nur aus iPhones besteht….

      Comment by Anonymous — February 8, 2012 @ 9:49 pm

  5. Interessanter Beitrag und doch bin ich für meine Teil nicht schlauer als vorher, die Frage die sich auftut is doch immer die selbe

    In welchem Umfang werden persönliche Daten erhoben und wie werden sie weiterverwendet?

    Es gibt keinerlei Transparenz (also Gewissheit) darüber was mit deinen Daten, in diesem Fall Adressen geschieht und in welchem Umfang sie erhoben werden. Was doch alles in allem sehr viel Unsicherheit schafft, bei jemandem der ein gewisses Bewusstsein für Datenschutz hat.
    In dem ich ein app (egal ob Whatsapp) installiere und zustimme das der Zugriff auf meine persönlichen Daten ausdrücklich gestattet wird, habe ich dem Anbieter einen Freibrief gegeben.
    Solange die Anbieter keiner Haftung unterliegen und auch nicht gezwungen werden die Verwendungszwecke der von Ihnen erhobenen Daten offenzulegen, ist jegliche Spekulation darüber unnötig.

    Einfach wird es beim Facebook app das deine Nummer gleich ins Netz stell und somit jegliche Erklärung über den Verbleib der Daten unotig macht 🙂

    Wer seine Daten schützen möchte und trotzdem solche apps nutzen möchte, der muss seine Daten verschlüsseln und nur explizit darauf Zugriff gestatten. (Was natürlich mit EInschränkungen einhergeht und trotzdem voraussetzt das man einzelne Kontakte freigibt)

    Comment by multypla — August 12, 2011 @ 8:02 pm

    • Welche Daten erhoben werden, steht im am Ende verlinkten Folgeartikel.

      Comment by martin — August 12, 2011 @ 8:32 pm

  6. Danke für den interessanten Beitrag 🙂

    Comment by Lydo — September 29, 2011 @ 8:17 am

  7. “Es wird nirgends ausdrücklich darauf hingewiesen, daß Adreßbuchdaten übertragen werden.”
    Doch, Du schreibst ja selbst dass Whatsapp einen Abgleich mit dem Adressbuch durchführt.

    Comment by Kevin — November 5, 2013 @ 10:09 am


RSS feed for comments on this post. TrackBack URI

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Blog at WordPress.com.

%d bloggers like this: