WhatsApp speichert Backup-Daten im Klartext in der iCloud

WhatsApp ist nicht gerade bekannt dafür, ein sicherer Messenger zu sein. Das ändert nichts an seiner Popularität, entweder interessiert es die meisten Nutzer nicht, oder sie nehmen es aus anderen Gründen hin. Wer die Backup-Funktion der iOS-Version von WhatsApp nutzt, sollte sich jedoch im Klaren darüber sein, dass sich dieses Backup ohne größere Probleme auslesen lässt.

WhatsApp_Backup

[werbung] Auf eine Verschlüsselung wird verzichtet, die Daten landen in Archiven (Bilder) und einer SQLite-Datenbank auf den Apple-Servern. Gespeichert werden neben den Nachrichten auch Sendedatum / -zeit und die Kontaktdaten des Senders. Wie Heise berichtet, können diese Daten über einen kostenlosen Entwickler-Zugang aus iCloud abgefragt und somit auch ausgelesen werden.

Ein Sicherheitsproblem? Eher weniger. Das Backup ist nicht automatisch aktiviert, der Nutzer muss dieses aktiv anstoßen. Dort wird er auch darauf hingewiesen, dass die Daten in der iCloud landen. Es wird nirgends erwähnt, dass die Daten verschlüsselt oder anderweitig gesichert werden. Es ist also mehr als Bequemlichkeits-Feature zu verstehen, das einem die Daten bei einem Geräte-Wechsel wiederherstellt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

27 Kommentare

  1. Wer Whatsapp benutzt, dem ist sowas wie Verschlüsselung eh fremd bzw. egal. Aber es gibt ja zum Glück Alternativen.

  2. Mal wieder ein Beweis dafür, dass die Whatsapp Macher Amateure sind und keine Profis. Dem Erfolg des Messengers wird es nicht schaden da er mittlerweile aufgrund seiner starken Verbreitung ohne ernsthafte Konkurrenz bzw. Alternative ist.

  3. Wird der Chatverlauf nicht in der normalen iCloud Sicherung nicht automatisch mitgesichert?

  4. @leosmutter: Nicht ganz, es machen sich wohl einige Gedanken (zumindest ich 😉 ). Die Alternativen sind teils wirklich toll und „versprechen“ mehr an Sicherheit (Garantie hat man da auch nicht!). Nur ist der Nutzerkreis eben „anders“ (um es mal höflich auszudrücken). Zudem sollte man einfach abwägen welche Inhalte man versendet und wie hoch tatsächlich die Chance ist bestimmte Daten über diesen Weg zu verlieren. Viele gehen eher leichtsinnig mit ihren Daten um, da hilft dann auch keine Verschlüsselung!

  5. Welche Alternativen wären das? Bei Threema gibt es ein ähnliches Problem: http://hetzel.net/2013-08-12/threema-klartext-via-usb-und-icloud-backup/

  6. Ich bin auch der Meinung, dass diese Einstellung Makulatur ist und der Chat-Verlauf in der normalen iCloud-Sicherung mit abgedeckt ist. Handelt es sich hier um eine gesonderte Einstellung für den Fall, dass man Whatsapp deinstallieren und gegebenenfalls später mal wieder installieren möchte?!

  7. Liegt eher am Benutzer und dem nicht vorhandenen Sicherheitsgedanken. Sicherheitskompetenz muss geschult werden und das ist auch Aufgabe imho aller die sich damit auskennen.
    Die Nutzung eines Gummi beim poppen war auch nicht von heute auf morgen bei jedem wohl klar, wie es das „Ding“ neu gab 😉 Aber heute ist es schon wichtig, dieser Airbag 😀
    Evtl gehört WhatsApp auch einer Schattenfirma der CIA/Regierung, wenn es „unabsichtig“ unsicher ist ;-DDD

  8. Florian: Genau das ist der Grund für die iCloud Sicherung, wenn Du normale iCloud Backups vom System machst und das Handy wiederherstellst, ist der Chat Verlauf da. Nur bei Neuinstallation der App muss man das Backup so bemühen.

  9. Naja – FileZilla speichert das Passwort ja auch lokal auf der Festplatte, ohne es zu verschlüsseln, und überlässt es dem User, für ein ausreichend gesichertes System zu sorgen. Ich will nicht sagen, dass ich das unbedingt gutheiße, aber WhatsApp steht momentan sehr im Fokus, sodass man schnell aus einer Mücke einen Elefanten macht.

    Insofern wäre für mich eher interessant, ob der Übertragungsweg in die iCloud verschlüsselt ist. Wenn das der Fall ist… Njoar, dann sehe ich das eher entspannter.

  10. @Mithrandir
    Filezilla bietet jedoch die Funktion, überhaupt kein Kennwort zu sichern, an und somit kann der Benutzer wählen, welche Sicherheit genutzt werden soll.

  11. Sagt mal Leute… muss man denn auf allem rumhacken??

    Last doch whatsapp – whatsapp sein. Es ist nun mal eine einfache Chatplattform, mehr auch nicht .

    Es soll ja auch niemand damit seine Bankgeschäfte abwickeln. Oder macht ihr das mit eurem Berater per smartphone ?

    Und der Mist der über whatsapp läuft 99,9% muss auch nicht verschlüsselt werden. Oder? Freunde des einfaches Gespräches? 😉

  12. @sascha
    „können diese Daten über einen kostenlosen Entwickler-Zugang aus iCloud abgefragt und somit auch ausgelesen werden.“
    verstehe ich das richtig? wenn ja, dann wäre das der wirkliche aufreger…. aber ich kann mir nicht wirklich vorstellen, dass fremde „entwickler“ auf mein icloud-backup zugreifen können. kannst du da noch etwas für aufklärung sorgen?

  13. Sascha Ostermaier says:

    @HO: Nein, nicht fremde Entwickler. Du als Entwickler kannst auf Deine iCloud-Daten zugreifen. Hat jemand Dein Login, hat er Deine unverschlüsselten Daten. Kein Aufreger. 😉

  14. *wuhubuhu*flenn*meme*
    Ach Leute, was macht ihr für einen Aufriss um eure WA-Nachrichten?
    Sendet ihr darüber wirklich so strenggeheime Daten, die niemand wissen darf und soll? Wenn ja, macht euch lieber über das eigene Verhalten Sorgen, denn über die WA-Sicherheit.

    Stellt euch doch mal die Frage, würdet ihr Daten wie Kontonummern, streng geheime Baupläne, was auch immer geheim ist, auf eine Postkarte schreiben?
    – Nein, weil das könnte ja jeder – zumindest der Postbote – lesen?
    Na seht ihr. So sollte man auch mit WA und Co umgehen. Dann muss man auch nicht heulen, wenn Daten in der iCloud unverschlüsselt liegen, oder WA unverschlüsselt sendet!

    So und jetzt weiter geheult und immer schön den anderen die Schuld geben!

  15. Man braucht keinen Entwickler-Account, zumindest wenn man einen Mac besitzt. Dann ist der Zugriff auf die eigenen Daten noch viel einfacher.

    Die iCloud Daten liegen unter Library/MobileDocuments, so auch die von WhatsApp. Habe gerade mal nachgeschaut, da liegt auch eine SQLite Datei mit meinem Backup. Übrigens liegt damit auch die Telefonnummer unverschlüsselt in der iCloud, da diese als Ordnername dient.

  16. Bin der gleichen Meinung wie Dennis. Whatsapp ist das elektronische Äquivalent zur Postkarte. Sicherheitsbewusstsein bedeutet nicht, dass man alles und immer verschlüsselt, sondern, dass man sich im Klaren darüber ist, sensible Informationen nicht über offene Kommunikationswege zu schicken. Dinge die niemanden etwas angehen verschicke ich in einer verschlüsselten Mail, der Rest geht problemlos über Whatsapp.

  17. wie siehts denn unter Android aus? auch da habe ich unter wa ja die möglichkeit, mauelle backups anzulegen

  18. WhatsApp ist einer der unsichersten Messenger die es gibt. Dabei gibt es eine echte, bessere und sichere Alternative, die auch tatsächlich kostenlos ist: BBM Messenger.

  19. @ chris: echt? wahnsinn!!

  20. An der Verwirrung die hier teilweise herrscht, sieht man, dass Apples iCloud nicht ausgereift ist bzw. noch an einigen Stellen großen Bedarf an Verbesserung zeigt.
    Zumindest wenn es darum geht, dem User die iCloud Funktionalität verständlich zu machen.
    Es gibt nämlich durchaus einen Unterschied zwischen dem, was in der iCloud von iOS als Backup gespeichert wird (nämlich alle Daten des gesamten Betriebssystems inkl. App-eigener Daten) und den Daten, die jede App (sofern es die iCloud API nutzt) in der iCloud speichern kann. Letzteres ist die gleiche Art und Weise wie Pages und Co ihre Dokumente synchronisieren.
    Das kann jede App machen wie sie will. Pages speichert Dokumente und Whatsapp eben das Backup der Chatverläufe. Vielleicht stiftet das Wort Backup in diesem Fall etwas Verwirrung.
    Fakt ist jedenfalls, dass in einem iPhone backup, sofern unverschlüsselt, z.B. auch die Datenbank von Apples Nachrichten App im Klartext vorliegt und sich mit Tools wie iExplorer auslesen lässt.

  21. Also damit ich das richtig verstehe. Mit einem Entwickler Zugang habe ich zugriff auf meine Daten? Also jetzt nur meine. Von anderen nicht, sondern einzig und alleine meine?

    Was für eine Lücke im System….

    Es gibt sogar noch eine viel größere Whatsapp speichert die Daten sogar unverschlüsselt auf dem iPhone. Man kann sie sogar ohne Entwickler Zugang auf diesem Betrachten

  22. also verstehe den verweis dann überhaupt nicht, dass man als entwickler zugang zu seinen daten aus der icloud hat. die daten liegen ebenfalls als itunes-backup auf meinem rechner. zudem kann ich über die whatsapp-app direkt die ganzen daten auslesen… zb. den verlauf per email versenden. worum sollte es daher ein problem sein, dass ich mit wesentlich mehr aufwand auch über die icloud an diese daten komme?

  23. Würde ich mir auch für android wüschen. Hab gestern aufs n5 gewechselt und muss so umständlich vorgehen….

  24. Sorry aber kann mir nicht vorstellen, dass das wirklich „ohne Probnleme“ von Fremden ausgelesen werden kann.

  25. Danke für die Infos, seit dem Kauf von Facebook wird das ganze denke ich noch „kritischer“ gesehen.

  26. Seit ein paar Tagen kann ich mich leider nicht mehr unter icloud.developer anmelden um meine backup Datei zu sichern, u. a. auch die ChatStorage.sqlite von WhatsApp. Woran liegt das?

  27. hab das gleiche problem. gibt es ne Lösung?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.