Wissenschaftler der University of New Haven haben offenbar einen zuverlässigen Weg gefunden, die Kommunikation der WhatsApp-App mit den Servern des Unternehmens zu entschlüsseln und auszuwerten. Dabei stießen sie auf z.T. erschreckende Details über den Umfang der von vielen ohnehin bereits vermuteten Schnüffelei der App. Besonders die noch relativ neue Telefoniefunktion der Software erweckte den Argwohn der Forscher, da sich hiermit vollständige meta-basierte Kommunikationsprotolle von Personen erstellen lassen.
Nach eigenen Angaben gingen die Wissenschaftler mit forensischen Methoden an die Untersuchung heran und entschlüsselten in einem ersten Schritt den eigentlich verschlüsselten Datenverkehr zwischen WhatsApp und dem Server, bei dem die App zum jeweiligen Zeitpunkt eingeloggt war. Danach analysierten sie den gesamten Netzwerkverkehr und versuchten, bestimmte Datenpaketen und Signale zuzuordnen.
WhatsApp basiert in wesentlichen Teilen auf dem FunXMPP-Protokoll. Dieses wiederum basiert auf XMPP, einem offenen Kommunikationsprotokoll, das den Austausch von standardisierten Daten zwischen Kommunikations-Clients und Kommunikations-Servern regelt. Grob zusammengefasst werden über dieses Protokoll z.B. der Online-Status des Benutzers angezeigt oder Dateiübertragungen abgewickelt. Der Client – in diesem Fall WhatsApp – verbindet sich mit einem Server, von dort werden die Daten mit anderen Servern ausgetauscht und gelangen so zum eigentlichen Empfänger.
Die Kommunikation zwischen WhatsApp und dem jeweils verbundenem Server erfolgt verschlüsselt. Auch die Kommunikation der Server untereinander erfolgt verschlüsselt. WhatsApp beherrscht allerdings keine E2EE-Verschlüsselung (Ende-zu-Ende-Verschlüsselung), so dass die zwischen Benutzern ausgetauschten Daten spätestens beim Erreichen des ersten Servers von jedem abgegriffen werden können, der in irgendeiner Weise zum Zugriff legitimiert ist [
WhatsApp & Co. droht in Großbritannien das endgültige Aus
Während uns allen die Skandale im Rahmen der NSA-Affären wenigstens noch dunkel in Erinnerung geblieben sind, zeigte zuletzt Großbritannien, wie weit die Begehrlichkeiten eines Staates in diesem Bereich gehen können. Dort steht mit der sogenannten “Snoopers Charter” ein Gesetz ins Haus, das Unternehmen wie WhatsApp final die “freiwillige” Einspeisung aller Kommunikationsdaten in eine große, staatliche Überwachungs-Datenbank vorschreiben würde.
Was das tatsächlich bedeuten würde – und welche Einblicke die Facebook-Tochter WhatsApp bereits heute in unser Kommunikationsverhalten hat – zeigt die aktuelle Untersuchung. Die Wissenschaftler fanden heraus, dass WhatsApp unter anderem nicht die Rufnummer der Smartphones des Anrufers und des Empfängers an die Server überträgt, sondern auch die Anrufdauer und weitere Zeitstempel protokolliert. Über die IP-Adressen der benutzten WhatsApp-Relay-Server liesse sich auch der jeweilige Aufenthaltsort einer Person eingrenzen. Mit diesen Daten und weiteren Meta-Informationen lassen sich zum einen detaillierte Kommunikationsprotokolle einer Person erstellen, die WhatsApp benutzt. Zum anderen sind aber auch Personen betroffen, die WhatsApp gar nicht benutzen, aber via WhatsApp angerufen werden – also Menschen, die selbst gar nichts mit dem Unternehmen zu tun haben und sich vielleicht sogar willentlich solchen Überwachungsmaßnahmen entziehen wollen. [
Wie weit die theoretischen Möglichkeiten der App tatsächlich gehen, zeigte im April eine “nur für den internen Gebrauch” bestimmte Version der Software. Die zeichnete kurzerhand sogar Telefonate des Besitzers auf, ohne das Wissen der beiden Gesprächspartner. Das Unternehmen stellte schnell klar, dass diese Version nie im offiziellen Google Play Store oder auf den Internetseiten des Unternehmens in Umlauf gebracht worden sei.
Für die neue Untersuchung entwickelten die Forscher ein Python-basiertes Kommandozeilen-Tool namens convertPDML, das komplette HTML-Reports über eine “abgehörte” Kommunikation des WhatsApp-Clients erstellen kann. Dieses Tool stellen die Wissenschaftler ab sofort als Source Code zur Verfügung und liefern eine mehr oder weniger detaillierte Bedienungsanleitung gleich mit. Das Setup für vergleichbare Untersuchungen ist recht simpel, man benötigt zusätzlich zu dem Tool nur einige frei einschlägige Apps und – im besten Fall – ein mit z.B. Android-x86 gepimptes Notebook.
Die Wissenschaftler halten die Dimensionen und das Missbrauchspotential der gesammelten Informationen für so bedenklich, dass sie mit ihrer Studie andere Forschungsinstitute, Universitäten oder Techniker auffordern, es ihnen nachzutun und weitere Messenger oder Kommunikations-Clients unter die Lupe zu nehmen. Immerhin wird WhatsApp weltweit von circa 800 Millionen Menschen mehr oder weniger regelmäßig benutzt und steht gemeinsam mit dem “Messenger” unter der Kontrolle eines einzelnen, amerikanischen Unternehmens: Facebook.
Ausgerechnet in Deutschland ist WhatsApp die meistgenutzte App überhaupt, sowohl auf Smartphones mit Android-Betriebssystem als auch auf iPhones mit iOS. In anderen Ländern – z.B. auch in den Vereinigtsen Staaten – spielt die App eine eher untergeordnete Rolle.
So “erfreulich” es auch ist, dass nun seriöse Wissenschaftler beginnen, sich mit modernen Kommunikations-Apps auseinanderzusetzen, so bedenklich stimmt einen neben den Ergebnissen der gar nicht so schwierige Zugriff auf all diese Daten. Das bedeutet nämlich in aller Konsequenz, das wirklich jeder mit den entsprechenden Tools und adäquatem Zugriff auf all diesen Daten ebenfalls entsprechende Auswertungen vornehmen kann.
