WhatsSpy Public zeigt, wie irrelevant WhatsApp Datenschutz-Einstellungen sind

WhatsApp und Datenschutz, unzählige Debatten gab es zu dem Thema. Berechtigt, denn WhatsApp fällt immer wieder durch Mängel in diesem Bereich auf. Da helfen auch die schicken Datenschutzeinstellungen innerhalb der App wenig, wie Maikel Zweerink mit seinem WhatsSpy Public-Projekt zeigt. Ist das Tool einmal installiert (Raspberry Pi/Server/VPS), kann man von beliebigen Nutzern die WhatsApp-Aktivitäten tracken, unabhängig von den getätigten Einstellungen des „Überwachten“.

WhatsSpyPublic_01

WhatsSpy Public zeigt den Online-Status, Profilbilder, Status-Nachrichten und die Datenschutzeinstellungen an. WhatsSpy Public loggt Vorkommnisse, wie Online-Zeiten, sodass man diese nicht nur live angezeigt bekommt, sondern auch wunderbar auswerten kann. Ebenfalls bietet das Tool die Möglichkeit, mehrere Accounts miteinander zu vergleichen. In einem Blog-Post erklärt Maikel noch einmal, dass es sich dabei nicht um einen Hack handelt, sondern die Einstellungen einfach das Abgreifen zulassen.

Während die Einstellungen für Profilbilder, Status-Nachrichten und zuletzt online zwar an sich in limitiertem Umfang funktionieren, kann der Online-Status einfach ausgelesen werden. Wer sich übrigens selbst einmal tracken lassen möchte kann dies per kurzer Mail an Maikel tun.

Das WhatsSpy Public-Projekt findet Ihr an dieser Stelle. Einen Schutz vor dieser Art Überwachung gibt es aktuell nicht, es wird sich auch zeigen, ob WhatsApp das Problem jemals angehen wird, neu ist es ja nicht. Die einfachste Methode wäre natürlich, WhatsApp nicht zu nutzen, aber es gibt nur wenige Leute, die dazu auch bereit sind. So ist das eben, wenn sich etwas zum Quasi-Standard entwickelt hat, da werden auch Fehler oder andere Missstände von den Nutzern verziehen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

53 Kommentare

  1. Das ist wirklich krass. Gleich mal installieren und meinen Freunden vor die Nase halten. Vielleicht wechselt man ja dann mal sein Chat-Tool.

  2. Wir lernen hier auch wieder einmal, dass Knöpfe in Closed Source Software für den Endbenutzer u.U. völlig bedeutungslos oder Placebos sind. Demnach gilt für solche Software auch nicht das Argument „Schalte es doch ab, wenn es dich stört.“

    Ich möchte hier auch nochmal an unsere Diskussion zu Samsungs SmartTVs erinnern, die ja u.U. das in ihrer Gegenwart Gesprochene mithören und an die Server in Korea schicken. Kann ich darauf vertrauen, dass sie das nicht mehr tun, wenn ich das Feature ausschalte?

  3. Zuerst: Wenn man kritisiert, muß man auch loben können: Der Artikel gefällt mir, neutral, nicht überzogen sondern einfach sachlich. Nach dem Aluhutdebakel echt klasse 🙂

    Mich wundert es nicht, ich denke, bei FB wird es nicht anders aussehen. Warum sollte es auch deaktiviert werden können, so ist es für Überwacher doch viel einfacher zu tracken wo jemand ist o.ä.

  4. Solange man sieht, wenn jemand gerade Online ist, wird sich das nicht ändern.
    Das Tool loggt ja vermutlich nur, wenn jemand gerade Online ist und speichert es dann halt ab.
    Wie das mit dem Profilbild und dem Status funktioniert, würde mich mal eher interessieren. Das sieht dann doch schon eher nach Lücke aus.

  5. Besucherpete says:

    @Troy: Viele sollten aber auch endlich mal lernen, dass Open Source nicht die Lösung für alles ist. Auch da gibt es Lücken, die u.U. jahrelang nicht auffallen. Generell sehe ich Open Source auch eher skeptisch, gerade WEIL jeder daran herumwursteln kann. Letztlich wirst Du nie sicher sein können, dass ein Produkt nur das tut, was es vermittelt.

  6. Was bedeutet denn „online“ bei WhatsApp? Ist die App nicht rund um die Uhr „online“ um nach neuen Nachrichten Ausschau zu halten?

  7. @erhier: Nein, es handelt sich dabei um den Moment bei dem der Nutzer in der App ist und z.B. Nachrichten liest/schreibt. Egal welche „Sicherheitseinstellungen“ du vorgenommen hast, wenn jemand Online ist wird dies auch angezeigt.

  8. Die Unterschicht stört so etwas ja nicht – sie bleibt weiterhin strohdoof bei WA!

    Ich lob mir immer noch mein Threema!

  9. Ist das wirklich ein Skandal? Ich sehe das eher wie Maikel: „This is not an „hack“ or „exploit“ but it’s broken by design“.
    Zuletzt Online wird nicht angezeigt. Wenn damit nur der Zeitstempel gemeint ist, stimmt das ja auch!
    Aber es wird der Status „Online“ oder „schreibt…“ angezeigt falls man zufällig zur gleichen Zeit online ist. Maikel nutzt genau das und beobachtet mit seinem Tool eine Person 24h am Tag. Sobald „online“ angezeigt wird, wird ein Eintrag mit Uhrzeit erzeugt – So einfach dürfte das Tool arbeiten.
    Hm.. sehe noch immer keinen Skandal. Konnte man sich doch denken, sobald man das mal selbst am Handy gesehen hatte. Nur die Beschreibung von der Funktion könnte Whatsapp verbessern…

  10. @knut. Solche ekligen Klassenkampf-Sprüche kann ich echt nicht mehr lesen. Bah.

  11. Und dutzende Konzernchefs und Vorgesetzte werden sich jetzt freuen und es wird Abmahnungen und Kündigungen hageln, dank den Whatsapp Einstellungen und Menschen die halt dummerweise keinen Wert auf Datenschutz legen.

    Aber selber schuld, mit Threema passiert das nicht 😀

  12. Knut Knutsen says:

    @Alerta
    Der Unterschichtenknut ist ein Troll, schreibt immer dasselbe.

  13. Das ist alles andere als ein Skandal. Es ist genauso wie Bart schreibt. Meine Güte…

  14. @Knut Knutsen
    Leider glaube ich, dass er das nicht macht, um zu trollen, sondern dass es wirklich seine Meinung ist.
    Lieber Knut, auch wenn ich selbst gerne auf Threema setze, lass dir gesagt sein, dass das mitnichten ein Unterschichtsproblem ist.

    @Sascha Ostermaier
    Auch von mir nach all der Kritik zum Aluhut-Träger-Artikel, ein Lob für diesen Artikel. So sollte das sein.

  15. @Besucherpete: Da hast du das OSS Argument vielleicht noch nicht ganz verstanden. OSS ist per se nicht „die Lösung“ und schon gar nicht fehlerfrei. Will man aber an ein System das Label „Dem kann man trauen“, dranheften, dann darf es nicht aus Blackboxes bestehen, sondern muss bis ins Innere überprüfbar sein.

    Das bedeutet natürlich, dass man sich die Arbeit des Prüfens machen muss, was weder bei OSS noch CSS oft passiert. Aber zumindest kann man OSS prüfen.

  16. @Flo:
    Wenn Du also etwas kaufst, einen Dienst nutzt, der nicht das macht, was die Beschreibung vorgibt, dann ist das ok? Wenn das so ist, ich hab hier noch ein Auto stehen, das fährt ganz bestimmt……

  17. @denkste

    Wer keine 2 EUR (=Kaufpreis Threema unter 2 EUR) übrig hat für sichere & verschlüsselte Kommunikation….

    …. der ist halt finanzielle & geistige Unterschicht!!!

    Da gibt es meinerseits überhaupt keine Zweifel dran!!!

  18. Ja, wir alle haben keine 2€ übrig und nutzen deswegen kein Threema…

  19. Bei Whattsapp, ändert man doch nur den StatusTEXT, ich kann mich also nicht wirklich auf offline stellen … aber ist das nicht ein allgemeines Problem bei allen Messengern, dass der Onlinestatus mitgeloggt werden kann? Ich verstehs nicht, bzw. sollte mir das Tool mal anschauen, was da wirklich abläuft, hat vielleicht jemand eun Video …

  20. @Knut: Auch theema ist nicht vollends sicher! Da blabberst du einfach BILD-a-like etwas Gelesenes nach! Da whatsapp – zumindest in der Theorie und für einige freilich auch in der Praxis – nach etwa drei Jahren teurer ist als threema ist das auch kein taugliches Argument…

  21. @Robinho

    Threema ist bis heute Datenschutzskandal-Frei !

  22. Die konnten ja auch aus den Fehlern von anderen (WhatsApp) lernen…

  23. @Knut
    Bitte erkläre mal der Unterschicht, was 2€ mit sicherer & verschlüsselter Kommunikation zu tun hat!

    Ich nutze Textsecure, das ist kostenlos, ist sogar freie Software, es ist mindestens so sicher wie Threema, es hat nur einfach das gleiche Problem wie Threema: Es nutzt kaum ein Schwein.

    Whatsapp ist sogar teurer als Threema, sie haben ein leicht geschickteres Marketing, das der Preis erst nach einer kostenlosen Anfix-Phase zu bezahlen ist. Das entscheidende ist aber einfach: Wer meint, dass nur Menschen, die Threema, Telegram, Textsecure oder Jabber nutzen, die Kommunikation wert ist, der vergisst, dass das leider nicht die Menschen sind, die unsere Welt prägen, da sie leider hoffnungslos in der Unterzahl sind. Menschen, die aus welchen Gründen auch immer Whatsapp nutzen sind es, die unsere unmittelbare Welt prägen. Sie sind zahlmäßig einfach weit überlegen, und dürfen genau wie die „besser“ Minderheit auch wählen gehen.

    Daher ist es super, wenn Menschen wie Sascha einer etwas größeren Nutzeranzahl, als die, die eh etwas anderes nutzen, schön verdeutlicht, was das Nutzen von Whatsapp eigentlich bedeutet. Denn je öfter man darüber berichtet, je breiter die Bevölkerungsschichten sind, die man erreicht, desto wahrscheinlicher ist ein Umdenken in Zukunft.

  24. @Robinho
    Genausowenig wie Knut beweisen kann, dass es sicher ist, kannst du beweisen, dass es nicht sicher ist. Das ist der Unterschied zu WhatsApp, denn da kann man es beweisen.
    Und auch wenn nicht ausgeschlossen, ist, dass bei Threema eine Lücke existiert, so kann man trotzdem sagen, dass der Fokus auf dem Datenschutz liegt. Wiederum nicht so bei WhatsApp.

    @Knut
    Das ist nicht richtig. Viele Personen verstehen die Notwendigkeit von Datenschutz nicht. Nicht weil sie dumm sind, sondern weil sie sich einfach nicht genug mit dem Thema befasst haben.
    Klar gibt es auch genug Personen, die obwohl sie es eigentlich besser wissen müssten, beschließen nichts auf Datenschutz zu geben oder nicht bereit sind dafür 2€ auszugeben. Das ist traurig, aber muss ohne Beleidigungen akzeptiert werden.
    Auf jeden Fall aber, ist die pauschale Beleidigung aller WhatsApp-Nutzer als Unterschicht für die eigentliche Sache kontraproduktiv. Denn so wirst du niemanden zu einem Wechsel bewegen.

  25. @Knut: Nur weil es keinen Skandal gab oder gibt, schlussfolgerst du daraus, dass es sicher sei? Opfer! Die Validation bei Threema bringt einen Dreck, denn sie sagt absolut nichts über die Sicherheit aus.. Kritikpunkte diesbzgl. wurden bereits vielfach diskutiert, erst recht unter Fachleuten weil nicht unkritisch! Ein reverse engineering erlaubt Threema nicht (könnte man machen, wäre aber illegal), ein Schelm wär böses dabei denkt… Ferner wird immer der Datenschutz in der Schweiz hervorgehoben; dazu sei angemerkt… dass die Schweiz rechtsvergleichend keinen strengeren Schutz hat, im Gegenteil! Die Schweiz arbeitet derweilen stetig daran den Datenschutz weiter zu schwächen… Unter all den Messengern ist das von Moxie initierte Projekt („Textsecure“) wohl das einzig wahre… nur nutzt das eben keiner, und threema eben auch kaum einer 8das hat sich spätestens seit der 3-Monate-Inaktivitätsfunktion gezeigt)

  26. Knut Knutsen says:

    @denkste
    ich störe mich auch nicht an Threema oder WhatsApp, benutze beides nicht.
    Mich stört das er andere die nicht seiner Meinung sind als Unterschicht bezeichnet.
    was kommt als nächstes? Der gelbe Stern für WhatsAppnutzer?

  27. @Robinho

    – Die Validation bringt durchaus etwas, ist aber noch lange keine Garantie dafür, dass alles sicher ist.
    – Die Kritik unter Fachleuten bezieht sich (lass es mich wissen, wenn ich mich irre) immer nur auf die Tatsache, dass Threema Closed Source ist, also die Sicherheit nicht von jedem überprüft werden kann.
    – Das Threema ein Problem mit reverse Engineering hat ist mehr als verständlich, da sie nicht an der Nutzung des Dienstes, sondern am Verkauf des Clients verdienen. Und selbst WhatsApp, bei denen es nicht so ist, geht hart gegen Reverse Engineering vor.
    – Das der Datenschutz in der Schweiz jetzt nicht gerade das Verkaufsargument ist, da stimme ich dir zu, Allerdings immer noch um Welten besser, als wenn die Server in den USA stehen würden.
    – Textsecure ist tatsächliche eine gute Software, was die Sicherheit betrifft.
    – Von der Dreimonats-Inaktivitätsfunktion sowie der neueren optionalen Einmonats-Inaktivitätsfunktion sind bei mir sind bisher 3 von 42 Kontakten betroffen. Ich kenne aber auch Personen, die insgesamt nur 3 Kontakte bei Threema haben. Das heißt, man kann hier einfach nicht verallgemeinern.

  28. Nachtrag: Die Pauschale Beleidigung der WhatsApp Nutzer als Unterschicht habe ich ja ebenso verurteilt. Da sind wir uns einig.

  29. @saujung

    „Ich nutze Textsecure, das ist kostenlos, ist sogar freie Software, es ist mindestens so sicher wie Threema, es hat nur einfach das gleiche Problem wie Threema: Es nutzt kaum ein Schwein.“

    Dann Zeig mir doch bitte mal die Server-Sourcen. Wenn es wirklich frei wäre, könntest du dir alles selbst bauen und es auch verändern.

    Abgesehen davon hat Telegram noch immer eine beschissene Krypto, guck dir mal an, was Leute, die Ahnung davon haben, über Telegram sagen. Und du nutzt also immer die geheimen Chats? Dann verzichtest du ja schon mal auf die ganzen tollen Features! Optionale Krypto ist kein Fortschritt, selbst wenn sie gut wäre.

    Ich sag schon mal an: Ich geb zu den genannten Punkten keine weitere Nachhilfe, man informiere sich bitte selbst.

  30. gähn.. solange nicht mitgelesen werden kann, finde ich es ziemlich uninteressant.

  31. @denkste

    „Viele Personen verstehen die Notwendigkeit von Datenschutz nicht. Nicht weil sie dumm sind, sondern weil sie sich einfach nicht genug mit dem Thema befasst haben.“

    Klar hat das jeder kapiert, das Datenschutz wichtig ist!

    Jeder Raucher weiß auch, dass er seine Wahrscheinlichkeit erhöht, an Krebs zu krepieren! Und trotzdem qualmen sie munter weiter….. gut hier ist noch der Suchtfaktor mit dabei!

    Aber wer nach Edward Snowden immer noch nicht kapiert hat, was in der digitalen Welt so abgeht – allen voran in den USA! Der kann nur geistig minderbemittelt sein = Unterschicht!

    Das ist die unkritische, ungebildete Masse (= Unterschicht) die auf plumpe Politikerversprechen (siehe Griechenland) reinfällt. Das sind die Lemminge, die meinen, weil alles machen, muss es ja richtig (oder gut oder „ich will auch dabei sein“) sein. Das sind die Leute die Hitler an die Macht gebracht haben.

    Und genau diese Unterschicht, die heute komplett sinnbefreit bei WA bleiben – egal viele Datenschutzpannen und digitale Unverschämtheiten sich WA noch erlaubt – wird Deutschland auch wieder nach unten reissen.

    @Robinho
    Deine Luft-Argumente sind für mich nicht nachvollziehbar!!!

  32. @2cent:
    Textsecure != Telegram

  33. Okay, spätestens nach dem Hitler-Vergleich werde ich darauf nicht mehr weiter eingehen.

  34. zitat: WhatsApp nicht zu nutzen, aber es gibt nur wenige Leute, die dazu auch bereit sind
    +++++++++++++++++++++++
    stimmt, die 10 millionen downloads von telegram sind schon recht wenige. gott sei dank sind meine kontakte alle dabei und die anderen millionen kenne ich genausowenig wie 800 millionen bei whatsapp 🙂
    einstein sagte: zwei dinge sind unendlich, das universum und die menschliche dummheit. wobei er sich beim universum nicht ganz sicher sei

  35. Die könnten Daten auch offiziell an die Russen oder die NSA verkaufen, Bewegungsprofile erstellen, sonstwas anstellen. Die Generation Kopf unten wird so schnell nicht wechseln.

    Datenschutz oder Sicherheit spielt bei den WhatsApp-Intensivutzern, die ich kenne, praktisch keine Rolle. Da geht es nur um Tippen, tippen, tippen und das möglichst rund um die Uhr.

  36. @Knut
    viel zustimmung plus die ergänzung dass die dummheit leider schichtübergreifend ist

  37. @Max,saujung

    Recht haste, dass sollte ich auch eigentlich wissen. 😀 Textsecure ist in der Tat die beste Alternative. Also hiermit eine Entschuldigung in aller Form an @saujung!

    Was mich da geritten hat… Wahrscheinlich habe ich nur auf die verblendeten Telegram-Jünger gewartet bei so einem Post. Aber lesen hilft, auch mir. m(

    TextSecure ist übrigens bei CyanogenMod schon eingebaut.

  38. @Dirk: 10 Mio Downloads von Telegram sagt relativ wenig aus. Ich habe in meiner Telegram-Kontaktliste zB fast 20 Kontakte, die alle das letzte mal vor >6 Monaten dort online waren. Nicht die Downloads sind entscheidend, sondern die Zahl der *aktiven* Nutzer.

  39. Unterschichtenmessenger. 😉

    Wer mit mehreren Geräten (Phone, Tablet, PC) im Netz kommuniziert, benutzt sowieso einen besseren Messenger wie Telegram oder Hangouts.

  40. Herr Hauser says:

    Weltuntergang, Hysterie, schaltet das Internet ab.

  41. Hier geht’s ja ab. Das Problem ist nicht, dass es sicher oder unsicher ist und die Leute zu dumm sind oder der Code nicht angeschaut werden kann.
    Alles tolle Sachen über die man diskutieren kann.
    Problem ist, dass es die Masse schlichtweg nicht interessiert. Die Masse hat kein Bewusstsein für Datenschutz und v.a. dem möglichen Missbrauch von Daten.
    Da sind Forderungen nicht verkehrt, dass unverschlüsselte Kommunikation verboten gehört. Das muss aber deutschland- oder europaweit durchgesetzt werden. Und auch der Datenschutz könnte europaweit durchgesetzt werden. Wenn dann Facebook sich mit einer schlagkräftigen EU auseinander setzen muss, die auch echte Sanktionen verhängen kann, haben wir übermorgen Datenschutz für alle.

  42. @2cent
    Check: 😉

    @Thomas
    Selbst wenn in Deutschland, oder sogar in ganz Europa, bei den Politikern ein Bewusstsein für Datenschutz geschaffen würde (was schier unvorstellbar ist, in Zeiten, in denen sich über Volkszählungen keiner mehr aufregt, in denen Politiker laut sagen dürfen, dass sie Verschlüsselung faktisch verbieten wollen, …), dann wäre für die Entscheidungsträger, die das Volk (die, die Whatsapp benutzen, und die, die diese Politiker halt wählen, also die große Mehrheit) vertreten, das ganze immernoch Neuland. Und dann kommt da sowas wie DE-Mail heraus. Dann würden Verschlüsselt, indem der Text XOR mit der Telefonnummer verknüpft würde.

    Die Forderung, dass unverschlüsselte Kommunikation verboten sein muss, ist ziemlich zweckfrei. Ein klares Bekenntnis zum Recht auf verschlüsselter Kommunikation und entsprechender Unterricht an den Schulen brächten in meinen Augen mehr. Allerdings beißt sich dort die Katze wieder in den Schwanz: Für gefühlte 99% der Lehrkörper, die es noch nicht in die Politik verschlagen hat, bleibt es immer noch Neuland!

    Ach ja, und +1 für Godwins Gesetz!

  43. Yeah in knapp 5 Stunden den Sprung vom Whatsapp Nutzer zu Adolf Hitler vollbracht!

  44. das ist der selbe quark wie auf anderen webseiten auch. weder macht man sich die mühe das ganze mal wirklich zu prüfen noch zu verstehen. nicht mal die scheiss screenshoots des obigen programms werden gelesen!

    nutzerbild und statusmeldung kann das programm nur tracken, wenn es in den entsprechenden einstellungen auf öffentlich steht! und das man öffentliche daten thereotisch tracken kann, ist natürlich ein no go. verstehe. was kommt als nächstes? in blogs veröffentlichte artikel können öffentlich gelesen werden?

    nochmal zum mitmeiseln: stellt der Nutzer seine Daten öffentlich bereit, können diese daten öffentlich aufgezeichnet werden! mal ganz simpel, haltet ihr und der verfasser diese infos ernsthaft für relevant oder die benutzer für völlig dumm im kopf? öffentlich zugänglch informationen können mitgelesen werden??? nur noch lächerlich diese sensationsgier.

    und das man wenn man online ist als online gesehen wird ist ein problem? was ist dann mit hangout? was ist dann mit skype und co ?? was ist mit dem „besetzt“ ton am telefon? was ist mit webcams im öffentlichen raum? was ist mit wohnungstüren? mit ner cam und einem trackerprogramm kann ich bewegungsprofile meines nachbarn erstellen. müssen wir alle papiertüten auf dem kopf tragen? natürlich wäre es mir lieb man könnte wie früher mal bei gtalk in den „unsichtbar“ modus gehen. gibt es aber bei fast keinem messanger mehr. nicht schön, ist aber im moment so.

    das aber entweder das konzept nicht verstanden wird, oder absichtlich durch klares weglassen von details bzw. suggestiven formulierungen der eindruck erweckt wird, ein neuer datengau wäre auf den weg, gibt mir wesentlich mehr zu denken.mir drängt sich da eher der eindruck auf, dass die journaille nicht mehr weiss was sie schreiben soll oder schlicht die eigene materie nicht versteht! wenn das ganze dann noch von einem autor kommt, der seine leser mit datenschutzbedenken noch am wochenende als alumützenträger betitelte, weiß ich ehrlich gesagt nicht ob ich lachen oder heulen soll!

  45. @Wolf: hervorragend auf den Punkt gebracht.
    Ergänzen kann ich nur, dass mir generell Menschen suspekt sind, die aufgrund eines von ihnen gefühlten Wissensvorsprungs ggü. der „dummen Masse“ glauben, die Weisheit bereits mit Löffeln gefressen zu haben. Als Beispiel sei das derzeit in Technik-Blogs häufig anzutreffende und äußerst populäre Phänomen genannt, dass geradezu sofortiger Konsens darüber herrscht, alle Politiker für Idioten oder böswillige Spionageschergen zu halten.

    @lentille: lass mich raten. Skype?

  46. @Flo. Nein. Telegram oder Hangouts. Die laufen auf allen Plattformen synchron. Wer lesen kann, ist glatt im Vorteil. 😉

  47. Christian Ott says:

    @Wolf @flo
    Na? Sandmännchen schon aus? Dann aber schnell ins Bett.

    Da braucht nichts öffentlich gemacht zu werden, da der online Status immer getrackt werden kann. Profilbild und Statusnachricht sind sichtbar je nachdem wie man WA eingestellt hat.

    Gute Nacht Jungs