WhatsApp: Jeder kann sehen, wann du online bist, Datenschutzeinstellungen egal
von caschy | 67 Kommentare
WhatsApp dürfte zu den beliebtesten Messengern der Welt gehören. Ende August ausgegebene Zahlen sprechen von 600 Millionen aktiven Nutzern. Der von Facebook aufgekaufte Messenger kommt immer mal wieder in die Medien, meistens, wenn es um Datenschutz geht.
Und auch unser Beitrag schlägt in die Kerbe, denn die Datenschutzeinstellungen von WhatsApp lassen sich anscheinend übergehen. Sie verraten nichts Wildes und nichts Neues, aber dennoch kann man darauf aufmerksam machen, denn ich könnte so immer schauen, wer sich wann in WhatsApp befindet.
Folgendes Testszenario lässt sich relativ einfach nachbauen. Man schnappe sich jemanden, der WhatsApp benutzt. Diesen Menschen bittet ihr, in seinen Einstellungen festzulegen, dass „Zuletzt online“ und der „Status“ auf „Niemand“ stehen. Nun sollte man meinen, dass niemand euren Status sieht. Dem ist aber nicht so.
Jeder, der nun die Rufnummer der Person kennt, könnte diese in sein Adressbuch übernehmen und mal einen flotten Chat via WhatsApp beginnen. Hier schreibt man aber nichts in den Chat, sondern lässt diesen einfach nur geöffnet. Kommt die Person online und öffnet WhatsApp, dann bekommt sie nicht mit, dass ihr sie bei WhatsApp „überwacht“.
Obwohl alles auf „Niemand“ gestellt ist, seht ihr, ob die Person online ist. Der Status wird in eurem Chatfenster angezeigt. Habe das Ganze selber nachvollzogen, funktioniert tatsächlich. Hier noch einmal die Screenshots. Im linken Part bin ich mit nicht online, während die andere Seite mich online zeigt, obwohl die Datenschutzeinstellungen „hochgezogen“ sind. Getestet haben wir mit insgesamt drei Rufnummern, jedes Mal das gleiche Ergebnis. Ist ja schon immer so.
Gefunden hat die „Lücke“ Flavio Giobergia. Er hat ein Whitepaper zum Ganzen veröffentlicht und zeigt weitere Möglichkeiten -denn so könnte ein automatisiertes Script schauen, wann ihr euch in WhatsApp rumtreibt – oder eben nicht. Und ich glaube, dass für bekloppte Stalker dieses wieder ein gefundenes Fressen ist. Das Whitepaper findet ihr hier.
Nachtrag: Es ist bekannt, dass WhatsApp den Status *immer* so anzeigt. Informell geht es hier um das Script!
Wird geladen ...
Das war doch vor dem Update auch so, oder nicht?!
Durch das Update wurden diese Einstellungen zwar zurück gesetzt und man musste wieder einstellen, dass der Status „zuletzt Online“ nicht angezeigt werden soll. Trotzdem konnte ich auch vorher sehen, dass jemand „online“ ist.
Also für mich ist das jetzt nichts neues, beobachte das schon seit langem..
Hi everybody, I’m Flavio Giobergia, the author of the paper. I apologize for writing in English, but unfortunately I don’t happen to speak German (although that’s something I really want to work on someday). I have read most of the comments you’ve published, and I would like to say something about the paper.
I know most of you are saying „no big deal“, or „that’s no news“ and such, and I 100% agree with you: the topic covered in the paper isn’t new at all, what I believe is new is the approach I took: rather than just seeing who’s online, I have pretty much written a script that allows anybody to actually monitor someone else: thanks to that, you can get a complete log of one’s activity, including the „last seen“ option (since you know when was the last time the user was seen online), although it was disabled in the first place.
The other thing I tried to focus on was the script I have crafted: some good old over-simplified, yet perfectly working, OCR should be of some interest since, as I mentioned, I have used a very similar approach when bypassing captchas (phpBB’s, phrack’s, and many others).
So, don’t only focus on the „you can’t prevent anybody from seeing whether you’re online or not“ part, but pay a little more attention to the „you can actually *monitor* somebody, making, de facto, the ‚last seen‘ option useless“ idea.
This being said, I really appreciate the fact that you have carried on such an interesting discussion; thank you all!
Das ist aber nichts Neues. Die „Lücke“ ist mindestens so alt wie Methusalem. Und wenn der andere dann noch tippt, steht da doch tatsächlich „schreibt“. Na so was. Und was ist jetzt so verwerflich daran? Es gibt aber ein gutes Mittel dagegen. Whatsapp einfach nicht benutzen.
Es ist schon erstaunlich. Die gleichen Leute die hier über Whatsapp weinen und arge Sicherheitsbedenken haben, haben keine Probleme damit, ihre Bilder und Daten in Microsofts OneDrive zu lagern. Das ist ganz schön Schizzo. Telegram und Threema sind unbrauchbar, weil sie kaum jemand nutzt. Die besten Chickas lassen sich eben nur über Whatsapp kontakten.