WhatsApp: Jeder kann sehen, wann du online bist, Datenschutzeinstellungen egal

WhatsApp dürfte zu den beliebtesten Messengern der Welt gehören. Ende August ausgegebene Zahlen sprechen von 600 Millionen aktiven Nutzern. Der von Facebook aufgekaufte Messenger kommt immer mal wieder in die Medien, meistens, wenn es um Datenschutz geht.

whatsapp

Und auch unser Beitrag schlägt in die Kerbe, denn die Datenschutzeinstellungen von WhatsApp lassen sich anscheinend übergehen. Sie verraten nichts Wildes und nichts Neues, aber dennoch kann man darauf aufmerksam machen, denn ich könnte so immer schauen, wer sich wann in WhatsApp befindet.

Folgendes Testszenario lässt sich relativ einfach nachbauen. Man schnappe sich jemanden, der WhatsApp benutzt. Diesen Menschen bittet ihr, in seinen Einstellungen festzulegen, dass „Zuletzt online“ und der „Status“ auf „Niemand“ stehen. Nun sollte man meinen, dass niemand euren Status sieht. Dem ist aber nicht so.

Jeder, der nun die Rufnummer der Person kennt, könnte diese in sein Adressbuch übernehmen und mal einen flotten Chat via WhatsApp beginnen. Hier schreibt man aber nichts in den Chat, sondern lässt diesen einfach nur geöffnet. Kommt die Person online und öffnet WhatsApp, dann bekommt sie nicht mit, dass ihr sie bei WhatsApp „überwacht“.

Obwohl alles auf „Niemand“ gestellt ist, seht ihr, ob die Person online ist. Der Status wird in eurem Chatfenster angezeigt. Habe das Ganze selber nachvollzogen, funktioniert tatsächlich. Hier noch einmal die Screenshots. Im linken Part bin ich mit nicht online, während die andere Seite mich online zeigt, obwohl die Datenschutzeinstellungen „hochgezogen“ sind. Getestet haben wir mit insgesamt drei Rufnummern, jedes Mal das gleiche Ergebnis. Ist ja schon immer so.

Bildschirmfoto 2014-09-22 um 17.13.21

Gefunden hat die „Lücke“ Flavio Giobergia. Er hat ein Whitepaper zum Ganzen veröffentlicht und zeigt weitere Möglichkeiten -denn so könnte ein automatisiertes Script schauen, wann ihr euch in WhatsApp rumtreibt –  oder eben nicht. Und ich glaube, dass für bekloppte Stalker dieses wieder ein gefundenes Fressen ist. Das Whitepaper findet ihr hier.

Nachtrag: Es ist bekannt, dass WhatsApp den Status *immer* so anzeigt. Informell geht es hier um das Script!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

67 Kommentare

  1. Was habt ihr erwartet? Das Teil gehört nun Facebook, das ist ein neues Feature!

  2. Genau u.a. deswegen gehört der Dienst umgehend eingestampft! Sofort!

  3. Das ist doch schon so seit die diese „Datenschutz“-Einstellung eingeführt haben…

  4. In den Einstellungen steht ja auch, dass ZULETZT online für niemanden sichtbar ist. Dass „online“ dennoch für jeden sichtbar ist, war doch schon immer so, oder täusche ich mich da?

  5. Dass man sehen kann,wenn jemand gerade Online ist, war aber schon immer so, bzw. ist seit Einführung der Datenschutzoption schon immer so gewesen.

  6. „Gefunden hat die “Lücke” Flavio Giobergia.“
    Naja. Ich dachte, jedem, der ab und zu mal Whatsapp benutzt, wäre das bekannt.
    Genaugenommen handelt es sich ja auch nicht um den „zuletzt online“-Status, sondern um den „aktuell online“-Status. Demnach macht Whatsapp hier nichts falsch.
    Dass man daraus nun ein Skript basteln könnte, sei dahingestellt.

  7. Ja, das ist kein Bug, sondern eigentlich normal. Wie gesagt… es wird nur „zuletzt online“ verborgen… „online“ geht immer… und das war schon immer so.

  8. Nichts wirklich neues, ist mir persönlich schon seit Monaten bekannt… Bis vor kurzem wurde unter Windows Phone auch noch angezeigt, wann die Person zuletzt online war, wenn man gleichzeitig im Chat Fenster mit dieser Person war. Allerdings wurde dies nicht gespeichert, d.h. Hat man die app verlassen, war auch der zuletzt online eintrag weg…

  9. @Julian: wir nutzen im Team Telegram, zudem hab ich auch mittlerweile Threema mehr im Einsatz. Öfter mal was Neues.

  10. und was ist daran jetzt neu? das ist doch ewig so das „online“ trotzdem angzeigt wird ..

  11. Ernsthaft? Das ist doch schon i m m e r so.
    Ich sollte anfangen „Paper“ zu schreiben haha. Es heißt ja auch „zuletzt online“ – „zuletzt“…
    und „Status“ bezieht sich nicht auf den Onlinestatus sondern auf die Statusnachricht. Oh Mann…

  12. Das ist mir letzte Woche auch aufgefallen als ich ärger für eine nicht beantwortete Nachricht bekam… „aber du warst doch online!“ Habe mich einfach damit abgefunden. Aber nachbessern könnte man da gerne.

  13. Oh man, was eine Sensationsnachricht.
    Das ist schom IMMER so.
    IMMER IMMER IMMER.
    Schon zu Zeiten, als es nur Angebissener-Apfel-Menschen einstellen konnten!
    IMMER!

  14. Das ist schon immer so, seitdem es diese Einstellung gibt.

  15. Noch einmal: es geht hier um das Script und das Whitepaper. Das kanntet ihr? Ich habe die NEws heute zum ersten Mal gelesen und auch noch nie davon gehört. Darum geht es! 😉

  16. @Caschy,

    schon klar, Whitepaper. Aber ist das nicht ein biiiiisschen banal für etwas, was den meisten eh bekannt ist und was man eigentlich nicht als „Lücke“ klassieren kann, weil nirgends geschrieben steht, dass es nicht so sein sollte? Wenn es danach ginge könnte man über alles Mögliche ein Whitepaper / Skript schreiben.

  17. Genau so habe die die Einstellungen auch immer verstanden. Wann ich zuletzt online war, kann niemand sehen und meinen Status (die Statusnachricht) auch nicht. Das „online“ jeder sehen kann, wenn ich in WA drin bin, finde ich nicht gut, deshalb nutze ich wa+, dort kann man auch das deaktivieren

  18. @Jon: Ich behaupte das Gegenteil. Wenn du fragst, was die Leute denken, was die Funktion macht – nämlich niemandem etwas anzeigen – dann gehen wohl alle davon aus, dass das so ist.

  19. wart schon immer so. Zuletzt online wird versteckt. Aber wenn beide zeitgleich online sind, lässt sich das nicht verstecken.

  20. @caschy Der Artikel wirkte auf mich so, dass es jetzt der Skandal sei, dass „online“ angezeigt wird. Das mit dem Paper klang für mich eher als Quellenangabe, auch wenn du auf das Skript hinweist.

  21. Ist ja nichts neues und schon seit es die Datenschutzeinstellung gibt der Fall. Das einzige, was diese Einstellung verbirgt ist der „Zuletzt online um xx:xx Uhr“ (bei Android der Fall, iOS oder WP weiß ich nicht).

  22. @cashy
    Mich wundert das du in diesem Fall noch einen Eintrag machst.
    Das bei WhatsApp Datenschutz ein Fremdwort ist sollte ja bekannt sein.
    Ich muss letzte Zeit so oft lachen wenn ich die Mail. De Werbung sehe. Darf ich Ihre Mail lesen. Oh nein auf keinen Fall.
    Ich frag mich für wen diese Werbung gemacht wurde. 90% der Leute in Deutschland nutzen whatsapp Naja vielleicht auch mehr.
    Für Datenschutz ist in Deutschland kaum Bedarf.
    Da kann man sich diese Meldung auch sparen ob da noch jemand den Online Status auslesen kann oder on China fällt ein Sack Reis um.
    Es interessiert doch eh niemand.
    Die die es interessiert nutzen den Dreck einfach nicht, so wie ich.

  23. @Caschy,

    ohne es belegen zu können, das denke ich nicht.
    Einfach, weil jeder wohl schonmal einen Chat geöffnet hat und da dann „Online“ stand und wenn die Person offline gegangen ist stand nichts mehr.
    Ich weiß das und ich habe Whatsapp fast noch nie benutzt.

    Dass es Usabilitytechnisch nicht sehr gut gelöst ist – keine Frage. Aber dazu ein Paper schreiben und es als Lücke ausweisen? Ich weiß ja nicht.. die IT-Sec-Branche ist in letzter Zeit wegen der vielen Publicity die ihr zuteil geworden ist etwas hitzköpfig geworden, aber sowas? Naja..

  24. @caschy: Ja, Telegram ist klasse. Gerade für Leute, die am mehreren Geräten synchron kommunizieren (z. B. Smartphone, Tablet und Notebook). 🙂

  25. @Jon: dann lass uns über die Funktion sprechen. Ich behaupte, die sollte dann SO nicht sein.

  26. Haben die Kritiker eigentlich überhaupt einen Blick in das Paper geworfen? Der Schwerpunkt liegt hier auf einem Algorithmus, der aus dem Screenshot Daten analysiert und loggt, wodurch man . DAS ist das eigentlich interessante.

    Das der Titel „WhatsApp monitoring for Fun and Stalking“ lautet, gibt mir mit dem Fun und Stalking in einem Satz, mehr zu denken.

  27. *Rückschlüsse auf den User ziehen könnte.

    Tz.

  28. @Caschy,

    wenn du mit „sollte […] SO nicht sein“ die Nutzerperspektive meinst, gebe ich dir natürlich Recht

  29. Das ist doch schon immer so gewesen und es heißt ja auch „zuletzt online“. Sorry mit dieser reißerischen Überschrift ist das Bild-Niveau.

  30. @Mithrandir,

    „Dass der Titel “WhatsApp monitoring for Fun and Stalking” lautet, gibt mir mit dem Fun und Stalking in einem Satz, mehr zu denken.“

    😀

  31. Naja, ich denke schon, dass das bekannt ist. Das Ruby Skript indes ist neu und nutzt das ganze mal so richtig aus.
    Wäre zu begrüßen, wenn man das abstellen könnte. Einfach, wenn man den Status nicht freigibt, wird der online-Status auch nicht gezeigt.

  32. Sorry, aber das ist weder neu, noch verwunderlich! „ZULETZT online“ ist nicht gleich „online“! Und die Anzeige „Zuletzt online“ gab es auch schon vor Änderung der Datenschutzbestimmungen! Da habe ich eben gesehen, ob derjenige, von dem ich was will meine Nachricht schon gelesen hat oder nicht! Und das man das sieht stellt man doch sofort fest, wenn man mit jemanden Schreibt, von dem man die „zuletzt online“ Anzeige nicht mehr bekommt? Oder versteh ich da was falsch?

  33. Das merkt man ja eh sofort! War für mich das wichtigste es umzustellen, dass man nicht sieht, wann ich zuletzt online war! Aber natürlich sofort gemerkt, dass freunde, die es so eingestellt haben, trotzdem als jetzt online sichtbar sind! Nutz es selber auch, um zu sehen, ob meine unbeantwortete nachricht gelesen worden ist oder nicht! Man braucht eh nur 1min warten…

  34. Das war schon immer so. Jeder der Whatsapp nutzt weiß das. Und Status meint hier schlicht die Nonsensnachricht die manch einer einträgt alá „Schatz ich liebe Dich blablabla“, „bin joggen“ etc.

    Wie oben schon gesagt, da steht „zuletzt online“. Das ist doch logisch das damit der Zeitstempel gemeint ist. Ja und wenn Du online bist, bist Du eben online. Ist doch bei Hangout auch nicht anders. Der Artikel macht einen Skandal wo keiner ist. Wenn man über eine Software schreibt, sollte man sie nach Möglichkeit checken. Die Meldung ist auf dem Niveau von „Skandal, jeder kann mit Whatsapp Nachrichten verschicken..wenn er registriert ist“.

  35. Könnt ihr auch testen, wenn die Nummer blockiert ist, ob der/diejenige immer noch den online-Status sehen kann?

  36. Man kann auf gerooteten Android-Smartphones auch einen Screenrecorder ständig mitlaufen lassen und dann sehen, wann die „Zielperson“ im Laufe eines Tages online war. Es geht also auch ohne dieses Skript. Dürfte zwar nur für gestörte Menschen ein Thema sein, aber davon gibt es ja leider genug…

  37. Also ist auf jedenfall kein neues Feature seitens Aufkauf von FB. Früher ging das auch schon. Aber es ließe sich ohne tiefere IT Kenntnis auch nur eine Person zur Zeit „beobachten“. Nich sehr effektiv für Otto Normal Stalker 😀 das ganze per Script etc tracken zu lassen ist jedoch schon wieder sehr interessant.

  38. Also, ich wusste das noch nicht und finde es interessant.

    Offensichtlich, dass dies die Möglichkeit für User, ihren online-Status völlig zu verbergen, untergräbt. Warum macht whatsapp das?

  39. habt ihr JEMALS erlebt, das Caschy einen Fehler zugab? Bitte zeigen. Lasse mich gerne verbessern.

  40. Und die arroganten Entwickler interessiert es einen [Kraftausdruck ihrer Wahl]. Wird die Masse wieder nicht interessieren, da man ja nichts zu verbergen hat. Ich weiß schon, warum ich WA nur nutze wenn ich unbedingt muss.

  41. Boah, als ob das soooo schlimm ist. Mit dem ganzen „Datenschutz“ kann man es auch übertreiben.

  42. Moment mal… Das ist doch krine Lücke…?! In den Einstellungen steht ja auch nie den Onlinestatus verbergen?! Es gibt nur die Möglichkeit zu verbergen wann man quasi online ear und wieder offline gegangen ist. Das war so seit es die Option gibt und war bzw. ist doch ewig bekannt? :S Mit Status ist nicht online oder offline gemeint sondern den Status den man selber eingeben kann… Verstehe also nicht wir man da von einer Lücke reden kann… Vielleicht von schlecht erklärten Optionen…

  43. @brausebirne
    Richtig man kann es auch verharmlosen und klein reden.

  44. Das ist doch nix neues. War schon immer so….

  45. Mir ist zusätzlich aufgefallen, dass wenn ich einstelle, dass meine Kontakte nicht sehen sollen, wann ich zuletzt online war, ich auch nicht mehr sehe, wann sie zuletzt online waren. Hebe ich meinen Schutz wieder auf, ist alles für mich wieder sichtbar.

  46. AFAIK ist „Status“ auch nicht der Online-Status, sondern der Status-Text. „Status: Niemand“ bewirkt also, dass niemand deinen Status-Text einsehen kann. Wie schon oben erwähnt, der Online-Status war schon immer einsehbar egal was man einstellt, da die Optionen damit nichts zu tun haben.

  47. Dirk Freigang says:

    Dieser Artikel war nicht dein Glanzstück, Caschy. Unterstelle dir aber keine Klickfalle, das wäre zu billig für dich. Auf jeden Fall ist man grundsätzlich eine bessere Recherche von dir gewöhnt. Schön zu sehen, dass du auch nur ein Mensch bist 😉

  48. Es geht um das Skript, der war gut 😉
    Selbst wenn existiert ja nichtmal ein Skript sondern nur ein
    Whitepaper. Ein solches Skript würde höchstens mit Xposed auf Android sinnvoll laufen. Wenn sich jemand echt die Mühe macht soll er doch.

  49. Ich find es ok wenn Caschy es grad erst so bewusst mitbekommen hat es euch mitzuteilen. Je eher Leuten bewusst wird Whatsapp weniger (ich sage nich gar nich; Ich nutze es nur zur Erstkontaktaufnahme) zu nutzen um so besser!

  50. ehm…. und?

  51. Achso ok ja die Funktion ist eh bekannt. Geht um das Script. Das liest nur per Bilderkennung oben die Statusleiste aus und schlägt auf, wenn „online“ da steht. Naja ich mein, wers braucht…..

  52. Was ist bei den Einstellungen denn mit Status gemeint? Ist das, ob ich gerade etwas eintippe oder ist damit gemeint, ob ich gerade online bin?

  53. Fehler hin oder her… Dass es sich hier um keine neue Erkenntnis handelt, wurde glaube ich hinreichend besprochen. Ich persönlich finde es trotzdem gut, dass diese Verhalten mal thematisiert wird, weil es so wie es ist einfach Mist ist. Wen bitte geht es etwas an, dass ich gerade eine Nachricht schreibe oder lese, außer denjenigen selbst!? Anstatt aus den Informationen „zuletzt online“ und dem „momentan online“ – Status sich zusammenzureimen, dass die Gegenstelle die Nachricht gelesen hat, sollte es stattdessen einen echten Hinweis darauf geben, dass eine Nachricht gelesen wurde. Das ist in „Hangouts“ meiner Meinung nach bestens gelöst und vor allem in Gruppenchats sehr gut zu gebrauchen. Ich weiß jederzeit wer den Chat bereits bis zu welcher Stelle gelesen hat. Auf der anderen Seite, sieht niemand, dass ich gerade eine Nachricht an jemanden anderen verfasst, sofern ich mich nicht im selben Chat befinde. DAS ist meiner Meinung nach die ideale Lösung und ich würde sie mir auch für whatsapp wünschen.

  54. Was nicht was ihr habe, ich bleibe versteckt ^^

  55. Oh man, meinte „Weiß nicht was ihr habt.“ Bei mir wird nichts angezeigt

    Also der Gegenüber sieht nichts

  56. Ich finde Caschys Hinweis auf die Möglichkeit eines solchen Scriptes schon wichtig und richtig. Danke, Caschy! Schön für euch, liebe Kritiker, dass ihr das auch von selbst wusstet. Und ihr, liebe andere Kritiker, müsst einfach mal gründlicher lesen, denn Caschy schrieb mehrmals, dass der Sachverhalt mit der Online-Anzeige nicht der Kern der Botschaft ist, sondern eben das Script.

  57. M. C. Kipfelsberger says:

    @Caschy: War das jetzt ein Artikel von Sascha, der unter deinem Namen veröffentlicht wurde? 😀

  58. Am Ende ändern es doch nix am Endnutzer weil bei denen die Einflussreichen Freunde fehlen die den Mut haben andere Messenger aktiv zu nutzen

    @Kipfelsberger: Warum?!?

  59. Ich dachte bei dem Status geht es um den Status „Verfügbar“ oder „Beschäftigt“, dass das ausblenden kann, und nicht um den Online-Status!

  60. Die nächste Meldung ist dann „Jemand muss online gewesen sein, wenn eine neue Nachricht von ihm/ihr kommt.“

  61. Das war doch vor dem Update auch so, oder nicht?!
    Durch das Update wurden diese Einstellungen zwar zurück gesetzt und man musste wieder einstellen, dass der Status „zuletzt Online“ nicht angezeigt werden soll. Trotzdem konnte ich auch vorher sehen, dass jemand „online“ ist.

  62. Also für mich ist das jetzt nichts neues, beobachte das schon seit langem..

  63. Hi everybody, I’m Flavio Giobergia, the author of the paper. I apologize for writing in English, but unfortunately I don’t happen to speak German (although that’s something I really want to work on someday). I have read most of the comments you’ve published, and I would like to say something about the paper.

    I know most of you are saying „no big deal“, or „that’s no news“ and such, and I 100% agree with you: the topic covered in the paper isn’t new at all, what I believe is new is the approach I took: rather than just seeing who’s online, I have pretty much written a script that allows anybody to actually monitor someone else: thanks to that, you can get a complete log of one’s activity, including the „last seen“ option (since you know when was the last time the user was seen online), although it was disabled in the first place.

    The other thing I tried to focus on was the script I have crafted: some good old over-simplified, yet perfectly working, OCR should be of some interest since, as I mentioned, I have used a very similar approach when bypassing captchas (phpBB’s, phrack’s, and many others).

    So, don’t only focus on the „you can’t prevent anybody from seeing whether you’re online or not“ part, but pay a little more attention to the „you can actually *monitor* somebody, making, de facto, the ‚last seen‘ option useless“ idea.

    This being said, I really appreciate the fact that you have carried on such an interesting discussion; thank you all!

  64. Das ist aber nichts Neues. Die „Lücke“ ist mindestens so alt wie Methusalem. Und wenn der andere dann noch tippt, steht da doch tatsächlich „schreibt“. Na so was. Und was ist jetzt so verwerflich daran? Es gibt aber ein gutes Mittel dagegen. Whatsapp einfach nicht benutzen.

  65. Habt ihr was zu verbergen? says:

    Es ist schon erstaunlich. Die gleichen Leute die hier über Whatsapp weinen und arge Sicherheitsbedenken haben, haben keine Probleme damit, ihre Bilder und Daten in Microsofts OneDrive zu lagern. Das ist ganz schön Schizzo. Telegram und Threema sind unbrauchbar, weil sie kaum jemand nutzt. Die besten Chickas lassen sich eben nur über Whatsapp kontakten.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.