WhatsApp-Chats können von präparierten Android-Apps ausgelesen werden

Die automatische Backup-Funktion von WhatsApp ermöglicht es anderen Apps, die Chats des Nutzers auszulesen. Das Problem ist, dass die Datenbanken, welche die Konversationen speichern, von jeder App mit Zugriff auf die SD-Karte aufgegriffen werden können. Auch die Verschlüsselung der Datenbanken bringt nicht viel, der entsprechend benötigte Schlüssel lässt sich ebenfalls recht einfach auslesen. Das Problem auf WhatsApp zu beschränken, ist vielleicht etwas blauäugig, denn im Prinzip kann alles ausgelesen werden, das nicht verschlüsselt ist oder wozu der Schlüssel vorhanden ist. Sobald eine App Zugriff auf die SD-Karte hat – das haben die meisten – kann sie mit den gespeicherten Inhalten anstellen, was sie will. Oder besser, was der Ersteller damit anstellen will.

whatsapp-logo

Der einzige Schutz vor diesem Problem ist die Deaktivierung des automatischen Backups (zum Glück nicht per Default aktiviert). Ob WhatsApp etwas daran ändert, ist fraglich. Zwar steht man nach dem Verkauf an Facebook medial noch mehr im Fokus, allerdings war WhatsApp auch früher nicht gerade unbekannt und fiel immer wieder durch irgendwelche Sicherheitsproblematiken auf, die nur langsam oder auch gar nicht angegangen wurden. Wer nun eine App erstellen will, die die Datenbank von WhatsApp ausliest, findet hier eine ausführliche Anleitung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

26 Kommentare

  1. Und das fällt erst jetzt auf? Das ist doch schon seit Jahren der Fall. Selbst ICQ und MSN haben früher die Chats ohne Verschlüsselung auf dem Rechner gespeichert – Skype tut es IMO auch nocht. Meine Güte, wenn sich darüber heutzutage Leute aufregen, wäre das wirklich leicht merkwürdig.

  2. Nennt mich paranoid, aber ich bin sicher, dass das von von einer andere Größe im Internetgeschäft propagiert wird. Es war schon erstaunlich, welche Negativpresse Facebook beim start von G+ erfahren hat. Das ganze ging dann ein paar Monate und flachte dann ab auf null. Ein Schelm wer böses dabei denkt.

  3. Aber die Problematik hier ist doch vor allem ein löchriges Android. Das system is einfach alles alles andere als ausgereift bzw. Privatsphäre spielt halt nach wie vor keine Rolle, weder für Google’s Android Entwickler noch für App Entwickler (man denke nur an all die apps die vollzugriff auf Dropbox on Konsorten wollen anstatt sich mit einem unterordner zufrieden zu geben. Ein Unding, da hier in der Regel sehr viel sensiblere Daten liegen als auf einer Telefon sd Karte.

  4. Danke MICROSOFT, Danke FAT32 !

  5. Das Problem ist hier nicht Android. Bei Android haben alle Apps die Möglichkeit Daten in einem eigenen Ordner abzulegen. Auf diesen Ordner hat keine andere App zugriff (ausgenommen root).

    Da ein Backup wenig bringt, wenn man darauf keinen Zugriff hat ist es natürlich logisch diese auf der SD Karte frei zugänglich zu speichern. Man müsste die Backups nur mit einem Passwort sichern wie es zB Threema macht.

  6. Naja. Man muss ja die Klau-Anleitung nicht unbedingt so anpreisen, auch wenn nur Entwickler was damit anfangen können. Angebrachter wäre eine kurze Beschreibung, wie man das Auto-Backup deaktiviert oder sonstige Schutzmaßnahmen.

  7. Herr Hauser says:

    Für die Hysteriker wird empfohlen, die Finger ganz vom Internet zu lassen und doch lieber Briefe zu schreiben. Keine Postkarten, den die sich ja auch offen auslesbar. 😉

  8. Und warum wird wieder explizit WhatsApp erwähnt, wenn es defacto bei so ziemlich jeder App möglich ist? Stimmt. Passt gerade. Telegram hat noch nicht genug Nutzer oder so oder Threema noch nicht genug verkauft.

    Es wird ein Hype um Datenschutz in DE gemacht… Ist echt krank. Früher hat es halt auch keinen interessiert, dass Microsoft unsere MSN-Gespräche „abhört“ oder das Logs von Chatprogrammen wie ICQ, MSN, IRC, Multi-Messenger unverschlüsselt in einem leicht auslesbaren (meist xml, txt, html) abgelegt werden…

  9. „Telegram hat noch nicht genug Nutzer oder so oder Threema noch nicht genug verkauft.“

    Bei Threema ist es wie gesagt nicht so einfach möglich ohne das Passwort zu kennen.

  10. @Sascha
    Viele Leute glauben was du schreibst ohne das noch einmal gesondert zu prüfen. Dieser Verantwortung solltest du dir bewusst sein.
    Was du hier geschrieben hast ist leider eine falsche Wertung auf Grundlage falscher Fakten, Quellenangabe hin oder her.

  11. Sascha Ostermaier says:

    @Tim: Was genau meinst Du?

  12. anzensepp1987 says:

    Backups sind sehr wohl per default aktiviert.

  13. „Es bleibt also festzuhalten, dass die Möglichkeit der Entschlüsselung des lokalen WhatsApp-Backups bestand und für ältere Backups unter nicht aktueller Android-Version eventuell noch möglich ist. Aktuell ist die Sicherheitslücke durch das Chatverlauf-Backup nicht so vorhanden, wie man bei dem ein oder anderen Medienbericht denken könnte.“

    http://goo.gl/5AtjCB

    Der Autor dort macht es richtig: verschiedene Quellen vergleichen und dann seine Schlüsse ziehen.
    Damit will ich jetzt nicht sagen, dass es zu 100% stimmt was da steht. Die Leserechte unter 4.4 haben z.B. glaube ich erstmal keinen Einfluss.

    edit: da war einer schneller 😉

  14. Mich wundert dass diese Nachricht erst jetzt so hochkommt, das ist schon länger bekannt, u.a. aus dem Grund habe ich schon letztes Jahr zu Threema gewechselt (weit vor dem FB Kauf).

    Vorneweg: ich finde den Artikel auch leicht irreführend. Das Problem ist hier nicht Android, die einzigen die Mist gebaut haben (und zwar riesen Bockmist) ist Whatsapp. Normalerweise speichern Android-Apps ihre Daten in einem Verzeichnis auf das andere Apps ohne explizite Erlaubnis selbstverständlich KEINEN Zugriff haben. Wer die komplette Datenbank dermaßen schlecht verschlüsselt als „Backup“ auf der frei zugänglichen SD-Partition speichert hat echt einen Orden verdient…. wie Entwickler aus Datenschutzsicht überhaupt auf eine solche Idee kommen können ist mir schleierhaft.

  15. Carsten hat Recht. Übrigens:

    Telegram legt seine Daten jedenfalls nicht in einem Ordner ab, der anderen Apps zugänglich wäre.

  16. Habe ich mir auch schon länger gedacht, aber ist doch dann gut, wenn es mal von den gängigen Blogs aufgegriffen wird und somit einer breiten Masse bekannt ist. Dann wird auch mal hoffentlich der Druck auf die Entwickler größer, dass man die Apps mit so wenig Berechtigung ausstattet wie es für die App eben nötig ist. Derzeit wird ja mehr nach dem Motto „Viel bringt viel“ gehandelt. Schrecklich!

    Und noch ne Frage: Welche App nutzt ihr um bei der Installation von anderen Apps die Berechtigungen besser zu kontrollieren bzw. einzuschränken? Wäre übrigens auch mal eine Idee für einen neuen Artikel. Fragen sich derzeit sicherlich viele….

  17. Mit einigen Tools (z.B. SMS Backup+ für Android) lassen sich die WhatsApp-Chats als Email-Verlauf im Gmail-Account „sichern“. Meiner Erfahrung nach wird bei dieser Sicherung auch auf das WA-Backup zurückgegriffen, da neuere WA-Nachrichten, welche noch nicht im Backup enthalten sind, nicht als Email gesichert werden. Es werden also nur die im Backup gesicherten Nachrichten zu Gmail übertragen.

  18. Also wer ein unverschlüsseltes Backup auf der SD-Karte speichert, einer App das Auslesen der DAteien auf der Karte erlaubt und sich dann wundert, dass manche Apps ja die Daten auf der SD-Karte auslesen können….also, sorry.

    Diese Schreckensnachricht könnten wir jetzt auch für zig andere Apps verbreiten. Wenn man ein Backup mit Titanium Backup erstellt, könnte eine böse App sogar die gesicherten APKs präparieren und so im Zweifelsfall fast beliebige Daten auslesen, sobald das Backup eingespielt wird. OH MEIN GOTT! 😉

  19. @gast: Unsinn.
    @Carsten: Unsinn.

    Das Problem ist Android. Dass man Applikationen ausschliesslich einen Vollzugriff zur ‚SD Karte‘ geben kann ohne weitere Spezifikationsmoeglichkeiten, ist ein systemisches Problem.

    Dass Whatsapp sein Backup nicht vernuenftig sichert ist ebenfalls relevant, aber man muss doch nun wirklich beide Seiten betrachten. App-Entwickler haben in den allermeisten Faellen weder das technische Know-How, noch den zeitlichen/finanziellen Spielraum, um ihre Apps vernuenftig abzusichern. Und selbst die „Grossen“ kommen aus diversen Kulturkreisen mit unterschiedlichen Vorstellungen (und Motivationen), wenn es zu Fragen der Privatsphaere kommt. Da muss ein systemweiter Minimalschutz vorhanden sein.

    Wo ist das Problem, fuer einzelne Apps nur einzelne Unterordner verfuegbar machen zu koennen? Von mir aus auch zwei oder mehr, aber nicht automatisch die ganze Partition. Das gibt Nutzern mehr Sicherheit waehrend es die Nutzerfreundlichkeit nur marginal einschraenkt (auch der unversierte Nutzer wird feststellen, dass die Ordner „Filme“ und „Videos“ und von mir aus auch „Musik“ fuer einen MX Player ausreichend sind und dass „Flappy Birds“ keinen Zugriff auf die „Whatsapp“ und „Skype“ Ordner benoetigt).

    Letztlich sind wir hier aber auch nur wieder bei dem generischen Problem, dass Apps vor der Einstellung in den Play Store nicht vernuenftig unter die Lupe genommen werden. Und, dass Sideloading noch immer moeglich ist.

    @Georg:

    Wer soll sich aber realistisch gesehen dieses Aussmasses bewusst sein? Diejenigen Menschen, die ueberhaupt jemals in die Einstellungen einer App schauen (ich wuerde argumentieren, dass dies maximal 70% der Nutzer sind, vermutlich weniger als die Haelfte), werden sich doch ueber ein automatisches Backup freuen und es aktivieren, wenn es nicht schon von Hause aus aktiviert ist. Wo das Backup gespeichert wird? Wie man drankommt, wenn man es denn jemals benoetigen sollte? Ob es ’sicher‘ ist? Das wissen nur die wenigsten (<20%).

    Allerdings ist es doch schon recht lustig, dass die meisten aktiven und versierteren Nutzer, die ihre Geraete gerooted haben und auch bspw. Titanium Backup aktiv nutzen, sich ueberhaupt nicht darueber im Klaren sind, dass Zugriff auf ihr Backup einen nahezu Vollzugriff auf ihr mobiles Leben erlaubt.

  20. @Michael
    „Wo ist das Problem, fuer einzelne Apps nur einzelne Unterordner verfuegbar machen zu koennen?“
    Dafür ist /data/data/ ja da.

    „bei dem generischen Problem, dass Apps vor der Einstellung in den Play Store nicht vernuenftig unter die Lupe genommen werden. Und, dass Sideloading noch immer moeglich ist.“
    Oben wird zwar eine Anleitung verlinkt, nach der man den Chatverlauf auslesen ‚können soll‘, aber dass irgendeine App dies böswillig tut und im Play Store ist steht hier nicht.
    Wenn Sideloading nicht mehr möglich ist, und ich nur noch über den Store laden kann, dann bin ich raus. Ich darf ja wohl noch meine eigenen Apps lokal installieren dürfen.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.