WhatsApp: Jeder kann sehen, wann du online bist, Datenschutzeinstellungen egal
WhatsApp dürfte zu den beliebtesten Messengern der Welt gehören. Ende August ausgegebene Zahlen sprechen von 600 Millionen aktiven Nutzern. Der von Facebook aufgekaufte Messenger kommt immer mal wieder in die Medien, meistens, wenn es um Datenschutz geht.
Und auch unser Beitrag schlägt in die Kerbe, denn die Datenschutzeinstellungen von WhatsApp lassen sich anscheinend übergehen. Sie verraten nichts Wildes und nichts Neues, aber dennoch kann man darauf aufmerksam machen, denn ich könnte so immer schauen, wer sich wann in WhatsApp befindet.
Folgendes Testszenario lässt sich relativ einfach nachbauen. Man schnappe sich jemanden, der WhatsApp benutzt. Diesen Menschen bittet ihr, in seinen Einstellungen festzulegen, dass „Zuletzt online“ und der „Status“ auf „Niemand“ stehen. Nun sollte man meinen, dass niemand euren Status sieht. Dem ist aber nicht so.
Jeder, der nun die Rufnummer der Person kennt, könnte diese in sein Adressbuch übernehmen und mal einen flotten Chat via WhatsApp beginnen. Hier schreibt man aber nichts in den Chat, sondern lässt diesen einfach nur geöffnet. Kommt die Person online und öffnet WhatsApp, dann bekommt sie nicht mit, dass ihr sie bei WhatsApp „überwacht“.
Obwohl alles auf „Niemand“ gestellt ist, seht ihr, ob die Person online ist. Der Status wird in eurem Chatfenster angezeigt. Habe das Ganze selber nachvollzogen, funktioniert tatsächlich. Hier noch einmal die Screenshots. Im linken Part bin ich mit nicht online, während die andere Seite mich online zeigt, obwohl die Datenschutzeinstellungen „hochgezogen“ sind. Getestet haben wir mit insgesamt drei Rufnummern, jedes Mal das gleiche Ergebnis. Ist ja schon immer so.
Gefunden hat die „Lücke“ Flavio Giobergia. Er hat ein Whitepaper zum Ganzen veröffentlicht und zeigt weitere Möglichkeiten -denn so könnte ein automatisiertes Script schauen, wann ihr euch in WhatsApp rumtreibt – oder eben nicht. Und ich glaube, dass für bekloppte Stalker dieses wieder ein gefundenes Fressen ist. Das Whitepaper findet ihr hier.
Nachtrag: Es ist bekannt, dass WhatsApp den Status *immer* so anzeigt. Informell geht es hier um das Script!
Ist ja nichts neues und schon seit es die Datenschutzeinstellung gibt der Fall. Das einzige, was diese Einstellung verbirgt ist der „Zuletzt online um xx:xx Uhr“ (bei Android der Fall, iOS oder WP weiß ich nicht).
@cashy
Mich wundert das du in diesem Fall noch einen Eintrag machst.
Das bei WhatsApp Datenschutz ein Fremdwort ist sollte ja bekannt sein.
Ich muss letzte Zeit so oft lachen wenn ich die Mail. De Werbung sehe. Darf ich Ihre Mail lesen. Oh nein auf keinen Fall.
Ich frag mich für wen diese Werbung gemacht wurde. 90% der Leute in Deutschland nutzen whatsapp Naja vielleicht auch mehr.
Für Datenschutz ist in Deutschland kaum Bedarf.
Da kann man sich diese Meldung auch sparen ob da noch jemand den Online Status auslesen kann oder on China fällt ein Sack Reis um.
Es interessiert doch eh niemand.
Die die es interessiert nutzen den Dreck einfach nicht, so wie ich.
@Caschy,
ohne es belegen zu können, das denke ich nicht.
Einfach, weil jeder wohl schonmal einen Chat geöffnet hat und da dann „Online“ stand und wenn die Person offline gegangen ist stand nichts mehr.
Ich weiß das und ich habe Whatsapp fast noch nie benutzt.
Dass es Usabilitytechnisch nicht sehr gut gelöst ist – keine Frage. Aber dazu ein Paper schreiben und es als Lücke ausweisen? Ich weiß ja nicht.. die IT-Sec-Branche ist in letzter Zeit wegen der vielen Publicity die ihr zuteil geworden ist etwas hitzköpfig geworden, aber sowas? Naja..
@caschy: Ja, Telegram ist klasse. Gerade für Leute, die am mehreren Geräten synchron kommunizieren (z. B. Smartphone, Tablet und Notebook). 🙂
@Jon: dann lass uns über die Funktion sprechen. Ich behaupte, die sollte dann SO nicht sein.
Haben die Kritiker eigentlich überhaupt einen Blick in das Paper geworfen? Der Schwerpunkt liegt hier auf einem Algorithmus, der aus dem Screenshot Daten analysiert und loggt, wodurch man . DAS ist das eigentlich interessante.
Das der Titel „WhatsApp monitoring for Fun and Stalking“ lautet, gibt mir mit dem Fun und Stalking in einem Satz, mehr zu denken.
*Rückschlüsse auf den User ziehen könnte.
Tz.
@Caschy,
wenn du mit „sollte […] SO nicht sein“ die Nutzerperspektive meinst, gebe ich dir natürlich Recht
Das ist doch schon immer so gewesen und es heißt ja auch „zuletzt online“. Sorry mit dieser reißerischen Überschrift ist das Bild-Niveau.
@Mithrandir,
„Dass der Titel “WhatsApp monitoring for Fun and Stalking” lautet, gibt mir mit dem Fun und Stalking in einem Satz, mehr zu denken.“
😀
Naja, ich denke schon, dass das bekannt ist. Das Ruby Skript indes ist neu und nutzt das ganze mal so richtig aus.
Wäre zu begrüßen, wenn man das abstellen könnte. Einfach, wenn man den Status nicht freigibt, wird der online-Status auch nicht gezeigt.
Sorry, aber das ist weder neu, noch verwunderlich! „ZULETZT online“ ist nicht gleich „online“! Und die Anzeige „Zuletzt online“ gab es auch schon vor Änderung der Datenschutzbestimmungen! Da habe ich eben gesehen, ob derjenige, von dem ich was will meine Nachricht schon gelesen hat oder nicht! Und das man das sieht stellt man doch sofort fest, wenn man mit jemanden Schreibt, von dem man die „zuletzt online“ Anzeige nicht mehr bekommt? Oder versteh ich da was falsch?
Das merkt man ja eh sofort! War für mich das wichtigste es umzustellen, dass man nicht sieht, wann ich zuletzt online war! Aber natürlich sofort gemerkt, dass freunde, die es so eingestellt haben, trotzdem als jetzt online sichtbar sind! Nutz es selber auch, um zu sehen, ob meine unbeantwortete nachricht gelesen worden ist oder nicht! Man braucht eh nur 1min warten…
Das war schon immer so. Jeder der Whatsapp nutzt weiß das. Und Status meint hier schlicht die Nonsensnachricht die manch einer einträgt alá „Schatz ich liebe Dich blablabla“, „bin joggen“ etc.
Wie oben schon gesagt, da steht „zuletzt online“. Das ist doch logisch das damit der Zeitstempel gemeint ist. Ja und wenn Du online bist, bist Du eben online. Ist doch bei Hangout auch nicht anders. Der Artikel macht einen Skandal wo keiner ist. Wenn man über eine Software schreibt, sollte man sie nach Möglichkeit checken. Die Meldung ist auf dem Niveau von „Skandal, jeder kann mit Whatsapp Nachrichten verschicken..wenn er registriert ist“.
Könnt ihr auch testen, wenn die Nummer blockiert ist, ob der/diejenige immer noch den online-Status sehen kann?
Man kann auf gerooteten Android-Smartphones auch einen Screenrecorder ständig mitlaufen lassen und dann sehen, wann die „Zielperson“ im Laufe eines Tages online war. Es geht also auch ohne dieses Skript. Dürfte zwar nur für gestörte Menschen ein Thema sein, aber davon gibt es ja leider genug…
Also ist auf jedenfall kein neues Feature seitens Aufkauf von FB. Früher ging das auch schon. Aber es ließe sich ohne tiefere IT Kenntnis auch nur eine Person zur Zeit „beobachten“. Nich sehr effektiv für Otto Normal Stalker 😀 das ganze per Script etc tracken zu lassen ist jedoch schon wieder sehr interessant.
Also, ich wusste das noch nicht und finde es interessant.
Offensichtlich, dass dies die Möglichkeit für User, ihren online-Status völlig zu verbergen, untergräbt. Warum macht whatsapp das?
habt ihr JEMALS erlebt, das Caschy einen Fehler zugab? Bitte zeigen. Lasse mich gerne verbessern.
Und die arroganten Entwickler interessiert es einen [Kraftausdruck ihrer Wahl]. Wird die Masse wieder nicht interessieren, da man ja nichts zu verbergen hat. Ich weiß schon, warum ich WA nur nutze wenn ich unbedingt muss.