WhatsApp-Chats können von präparierten Android-Apps ausgelesen werden

Die automatische Backup-Funktion von WhatsApp ermöglicht es anderen Apps, die Chats des Nutzers auszulesen. Das Problem ist, dass die Datenbanken, welche die Konversationen speichern, von jeder App mit Zugriff auf die SD-Karte aufgegriffen werden können. Auch die Verschlüsselung der Datenbanken bringt nicht viel, der entsprechend benötigte Schlüssel lässt sich ebenfalls recht einfach auslesen. Das Problem auf WhatsApp zu beschränken, ist vielleicht etwas blauäugig, denn im Prinzip kann alles ausgelesen werden, das nicht verschlüsselt ist oder wozu der Schlüssel vorhanden ist. Sobald eine App Zugriff auf die SD-Karte hat – das haben die meisten – kann sie mit den gespeicherten Inhalten anstellen, was sie will. Oder besser, was der Ersteller damit anstellen will.

whatsapp-logo

Der einzige Schutz vor diesem Problem ist die Deaktivierung des automatischen Backups (zum Glück nicht per Default aktiviert). Ob WhatsApp etwas daran ändert, ist fraglich. Zwar steht man nach dem Verkauf an Facebook medial noch mehr im Fokus, allerdings war WhatsApp auch früher nicht gerade unbekannt und fiel immer wieder durch irgendwelche Sicherheitsproblematiken auf, die nur langsam oder auch gar nicht angegangen wurden. Wer nun eine App erstellen will, die die Datenbank von WhatsApp ausliest, findet hier eine ausführliche Anleitung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

26 Kommentare

  1. Und das fällt erst jetzt auf? Das ist doch schon seit Jahren der Fall. Selbst ICQ und MSN haben früher die Chats ohne Verschlüsselung auf dem Rechner gespeichert – Skype tut es IMO auch nocht. Meine Güte, wenn sich darüber heutzutage Leute aufregen, wäre das wirklich leicht merkwürdig.

  2. Nennt mich paranoid, aber ich bin sicher, dass das von von einer andere Größe im Internetgeschäft propagiert wird. Es war schon erstaunlich, welche Negativpresse Facebook beim start von G+ erfahren hat. Das ganze ging dann ein paar Monate und flachte dann ab auf null. Ein Schelm wer böses dabei denkt.

  3. Aber die Problematik hier ist doch vor allem ein löchriges Android. Das system is einfach alles alles andere als ausgereift bzw. Privatsphäre spielt halt nach wie vor keine Rolle, weder für Google’s Android Entwickler noch für App Entwickler (man denke nur an all die apps die vollzugriff auf Dropbox on Konsorten wollen anstatt sich mit einem unterordner zufrieden zu geben. Ein Unding, da hier in der Regel sehr viel sensiblere Daten liegen als auf einer Telefon sd Karte.

  4. Danke MICROSOFT, Danke FAT32 !

  5. Das Problem ist hier nicht Android. Bei Android haben alle Apps die Möglichkeit Daten in einem eigenen Ordner abzulegen. Auf diesen Ordner hat keine andere App zugriff (ausgenommen root).

    Da ein Backup wenig bringt, wenn man darauf keinen Zugriff hat ist es natürlich logisch diese auf der SD Karte frei zugänglich zu speichern. Man müsste die Backups nur mit einem Passwort sichern wie es zB Threema macht.

  6. Naja. Man muss ja die Klau-Anleitung nicht unbedingt so anpreisen, auch wenn nur Entwickler was damit anfangen können. Angebrachter wäre eine kurze Beschreibung, wie man das Auto-Backup deaktiviert oder sonstige Schutzmaßnahmen.

  7. Herr Hauser says:

    Für die Hysteriker wird empfohlen, die Finger ganz vom Internet zu lassen und doch lieber Briefe zu schreiben. Keine Postkarten, den die sich ja auch offen auslesbar. 😉

  8. Und warum wird wieder explizit WhatsApp erwähnt, wenn es defacto bei so ziemlich jeder App möglich ist? Stimmt. Passt gerade. Telegram hat noch nicht genug Nutzer oder so oder Threema noch nicht genug verkauft.

    Es wird ein Hype um Datenschutz in DE gemacht… Ist echt krank. Früher hat es halt auch keinen interessiert, dass Microsoft unsere MSN-Gespräche „abhört“ oder das Logs von Chatprogrammen wie ICQ, MSN, IRC, Multi-Messenger unverschlüsselt in einem leicht auslesbaren (meist xml, txt, html) abgelegt werden…

  9. „Telegram hat noch nicht genug Nutzer oder so oder Threema noch nicht genug verkauft.“

    Bei Threema ist es wie gesagt nicht so einfach möglich ohne das Passwort zu kennen.

  10. @Sascha
    Viele Leute glauben was du schreibst ohne das noch einmal gesondert zu prüfen. Dieser Verantwortung solltest du dir bewusst sein.
    Was du hier geschrieben hast ist leider eine falsche Wertung auf Grundlage falscher Fakten, Quellenangabe hin oder her.

  11. Sascha Ostermaier says:

    @Tim: Was genau meinst Du?

  12. anzensepp1987 says:

    Backups sind sehr wohl per default aktiviert.

  13. „Es bleibt also festzuhalten, dass die Möglichkeit der Entschlüsselung des lokalen WhatsApp-Backups bestand und für ältere Backups unter nicht aktueller Android-Version eventuell noch möglich ist. Aktuell ist die Sicherheitslücke durch das Chatverlauf-Backup nicht so vorhanden, wie man bei dem ein oder anderen Medienbericht denken könnte.“

    http://goo.gl/5AtjCB

    Der Autor dort macht es richtig: verschiedene Quellen vergleichen und dann seine Schlüsse ziehen.
    Damit will ich jetzt nicht sagen, dass es zu 100% stimmt was da steht. Die Leserechte unter 4.4 haben z.B. glaube ich erstmal keinen Einfluss.

    edit: da war einer schneller 😉

  14. Mich wundert dass diese Nachricht erst jetzt so hochkommt, das ist schon länger bekannt, u.a. aus dem Grund habe ich schon letztes Jahr zu Threema gewechselt (weit vor dem FB Kauf).

    Vorneweg: ich finde den Artikel auch leicht irreführend. Das Problem ist hier nicht Android, die einzigen die Mist gebaut haben (und zwar riesen Bockmist) ist Whatsapp. Normalerweise speichern Android-Apps ihre Daten in einem Verzeichnis auf das andere Apps ohne explizite Erlaubnis selbstverständlich KEINEN Zugriff haben. Wer die komplette Datenbank dermaßen schlecht verschlüsselt als „Backup“ auf der frei zugänglichen SD-Partition speichert hat echt einen Orden verdient…. wie Entwickler aus Datenschutzsicht überhaupt auf eine solche Idee kommen können ist mir schleierhaft.

  15. Carsten hat Recht. Übrigens:

    Telegram legt seine Daten jedenfalls nicht in einem Ordner ab, der anderen Apps zugänglich wäre.

  16. Habe ich mir auch schon länger gedacht, aber ist doch dann gut, wenn es mal von den gängigen Blogs aufgegriffen wird und somit einer breiten Masse bekannt ist. Dann wird auch mal hoffentlich der Druck auf die Entwickler größer, dass man die Apps mit so wenig Berechtigung ausstattet wie es für die App eben nötig ist. Derzeit wird ja mehr nach dem Motto „Viel bringt viel“ gehandelt. Schrecklich!

    Und noch ne Frage: Welche App nutzt ihr um bei der Installation von anderen Apps die Berechtigungen besser zu kontrollieren bzw. einzuschränken? Wäre übrigens auch mal eine Idee für einen neuen Artikel. Fragen sich derzeit sicherlich viele….

  17. Mit einigen Tools (z.B. SMS Backup+ für Android) lassen sich die WhatsApp-Chats als Email-Verlauf im Gmail-Account „sichern“. Meiner Erfahrung nach wird bei dieser Sicherung auch auf das WA-Backup zurückgegriffen, da neuere WA-Nachrichten, welche noch nicht im Backup enthalten sind, nicht als Email gesichert werden. Es werden also nur die im Backup gesicherten Nachrichten zu Gmail übertragen.

  18. Also wer ein unverschlüsseltes Backup auf der SD-Karte speichert, einer App das Auslesen der DAteien auf der Karte erlaubt und sich dann wundert, dass manche Apps ja die Daten auf der SD-Karte auslesen können….also, sorry.

    Diese Schreckensnachricht könnten wir jetzt auch für zig andere Apps verbreiten. Wenn man ein Backup mit Titanium Backup erstellt, könnte eine böse App sogar die gesicherten APKs präparieren und so im Zweifelsfall fast beliebige Daten auslesen, sobald das Backup eingespielt wird. OH MEIN GOTT! 😉

  19. @gast: Unsinn.
    @Carsten: Unsinn.

    Das Problem ist Android. Dass man Applikationen ausschliesslich einen Vollzugriff zur ‚SD Karte‘ geben kann ohne weitere Spezifikationsmoeglichkeiten, ist ein systemisches Problem.

    Dass Whatsapp sein Backup nicht vernuenftig sichert ist ebenfalls relevant, aber man muss doch nun wirklich beide Seiten betrachten. App-Entwickler haben in den allermeisten Faellen weder das technische Know-How, noch den zeitlichen/finanziellen Spielraum, um ihre Apps vernuenftig abzusichern. Und selbst die „Grossen“ kommen aus diversen Kulturkreisen mit unterschiedlichen Vorstellungen (und Motivationen), wenn es zu Fragen der Privatsphaere kommt. Da muss ein systemweiter Minimalschutz vorhanden sein.

    Wo ist das Problem, fuer einzelne Apps nur einzelne Unterordner verfuegbar machen zu koennen? Von mir aus auch zwei oder mehr, aber nicht automatisch die ganze Partition. Das gibt Nutzern mehr Sicherheit waehrend es die Nutzerfreundlichkeit nur marginal einschraenkt (auch der unversierte Nutzer wird feststellen, dass die Ordner „Filme“ und „Videos“ und von mir aus auch „Musik“ fuer einen MX Player ausreichend sind und dass „Flappy Birds“ keinen Zugriff auf die „Whatsapp“ und „Skype“ Ordner benoetigt).

    Letztlich sind wir hier aber auch nur wieder bei dem generischen Problem, dass Apps vor der Einstellung in den Play Store nicht vernuenftig unter die Lupe genommen werden. Und, dass Sideloading noch immer moeglich ist.

    @Georg:

    Wer soll sich aber realistisch gesehen dieses Aussmasses bewusst sein? Diejenigen Menschen, die ueberhaupt jemals in die Einstellungen einer App schauen (ich wuerde argumentieren, dass dies maximal 70% der Nutzer sind, vermutlich weniger als die Haelfte), werden sich doch ueber ein automatisches Backup freuen und es aktivieren, wenn es nicht schon von Hause aus aktiviert ist. Wo das Backup gespeichert wird? Wie man drankommt, wenn man es denn jemals benoetigen sollte? Ob es ’sicher‘ ist? Das wissen nur die wenigsten (<20%).

    Allerdings ist es doch schon recht lustig, dass die meisten aktiven und versierteren Nutzer, die ihre Geraete gerooted haben und auch bspw. Titanium Backup aktiv nutzen, sich ueberhaupt nicht darueber im Klaren sind, dass Zugriff auf ihr Backup einen nahezu Vollzugriff auf ihr mobiles Leben erlaubt.

  20. @Michael
    „Wo ist das Problem, fuer einzelne Apps nur einzelne Unterordner verfuegbar machen zu koennen?“
    Dafür ist /data/data/ ja da.

    „bei dem generischen Problem, dass Apps vor der Einstellung in den Play Store nicht vernuenftig unter die Lupe genommen werden. Und, dass Sideloading noch immer moeglich ist.“
    Oben wird zwar eine Anleitung verlinkt, nach der man den Chatverlauf auslesen ‚können soll‘, aber dass irgendeine App dies böswillig tut und im Play Store ist steht hier nicht.
    Wenn Sideloading nicht mehr möglich ist, und ich nur noch über den Store laden kann, dann bin ich raus. Ich darf ja wohl noch meine eigenen Apps lokal installieren dürfen.

  21. @Michael Sorry, aber du redest Quatsch. Ich BIN Android-Entwickler… der Speicherplatz auf dem Apps ihre internen Daten ablegen ist per default vor unberechtigtem Zugriff geschützt. Wer Daten auf der SD-Karte bzw. dem frei zugänglichen Speicherplatz ablegt hat gefälligst dafür zu sorgen dass sie entsprechend verschlüsselt und nur für einen berechtigten Nutzer zugänglich sind.

    Und wenn App-Entwickler nicht das technische Know-How haben, wer denn dann!? 😉

    Zu guter letzt stimme ich dir zu dass die Rechteverwaltung bei Android für den *** ist. Dieses „ganz-oder-gar-nicht“ Konzept geht mir auch gewaltig gegen den Strich. Damit hat dieses Problem aber eher weniger was zu tun.

  22. Warum ist das heute ne Mledung wert bekannt ist das doch ewig…….

  23. Edit: Der einzige Schutz vor diesem Problem ist die Deaktivierung des automatischen Backups (zum Glück nicht per Default aktiviert) Stimmt nicht und ich finde es sollte klargestellt werden, dass jedes WA Backup den gleichen Schlüssel benutzt und deswegen die Verschlüsselung nichts bringt

  24. @Lars & Carsten: Nochmal bitte meinen Beitrag lesen. Ich habe beim besten Willen nicht von den /data/ Ordnern gesprochen. Praxisbeispiel fuer SD-Card-Daten gefaellig? Fotos. Diese „auszulesen“, finde ich tendenziell noch viel problematischer als ein Whatsapp-Backup. Oder halt die schon erwaehnten TB Dateien. Es gibt ausreichend Daten auf der Partition, beim Smartphone-Laien wie beim ‚Power User‘, die als sensibel eingestuft werden sollten.

    @ Carsten: Also wenn ich mir die Qualitaet der meisten Apps (die ich je installiert habe und/oder ueber die man liest) anschaue, sei es nun von Konzernen oder individuellen Entwicklern, ist es eher ernuechternd. Klar, im Vergleich zum Programmieren von iOS Apps ist das auch ungleich schwieriger bei der Anzahl an unterschiedlichen Hardware- und Softwareoptionen. Ab einer gewissen Komplexitaet der App kommt da ein kleines Entwicklerteam schnell an seine Grenzen. Und wenn ich mir die endlosen Probleme mit belieten Apps von Konzernen (Facebook, Skype und wie sie alle heissen) anschaue, koennen es die Grossen auch nicht besser.Nun, Kitkat sollte ein (kleiner) Schritt in die richtige Richtung sein.

    Dennoch, so sehr ich Apple fuer ihre Unternehmenspolitik ablehne, ab und zu ist man dann als Android-Nutzer doch ein wenig neidisch, dass die iOS-App Symbiose auf den Endnutzer deutlich harmonischer wirkt – aber natuerlich zu einem hohen Preis (geschlossenes System, Apples Einfluss auf welche Apps/Daten man Zugriff hat, tatsaechlicher Preis, …).

  25. Heute ist die Spionage auf unglaublich freches Niveau umgewandelt. Ich kann es einfach nicht begreifen, warum schweigt darüber unsere Regierung? Es gibt sogar entsprechende Webpages, die eigentlich keine Fakes sind, also keine Werbungsseiten oder ähnliches, die ihre Besucher einfach verarschen und Pron-Werbung anzeigen. Ich hatte Verdacht, dass mein Handy von dritten ausspioniert wird. Eine kleine Recherche bei Google führte mich auf diese Seite: Zieht euch das mal raus: http://whatsapphacken.de/wie-kann-man-geloschte-whatsapp-chats-hacken/. Was echt schrecklich ist, kann diese Software – ich würde sagen diese Viren – auch gelöschte Daten ausspionieren! Und jetzt? Kein Privatleben? keine Chance auf Privatsphäre? das ist doch entsetzlich.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.