Untersuchung - WhatsApp erstellt Kommunikations-Protokolle

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Ein Artikel von MobileGeeks der sich auf die Forschungsergebnisse der University of New Haven beruft zeigt die (nicht sehr überraschenden) Sicherheitslücken von WhatsApp auf.

    So stellten die Forscher nicht nur fest, das der Zugang zu den Daten mangels guter Verschlüsselung sehr Einfach ist und für jeden mit lediglich geringen Kenntnissen möglich sei.
    Auch das WhatsApp mittels der Daten detaillierte Kommunikationsprotokolle erstellt wird deutlich. So übermittelt WhatsApp z.B. während der Nutzung der Telefonfunktion neben der Rufnummer einige Metadaten wie Zeitstempel und einen ungefähren Aufenthaltsort.

    http://www.mobilegeeks.de/news/untersuch…ons-protokolle/


    Für uns natürlich nicht überraschend - aber ich hoffe das dieser Artikel bzw. diese Information über die "Geek"-Kreise hinaus gehen und in der breiten Masse zur Kenntnis genommen wird.

    Gruß TheDeckie

    Einmal editiert, zuletzt von TheDeckie (29. Oktober 2015 um 11:38)

  • Wenn das passiert und ich warte ebenfalls darauf, dann kann Whatsapp getrost einpacken ;)

    ______________________________________________________________________________________________
    "Wir kaufen Dinge, die wir nicht brauchen, mit Geld, das wir nicht haben um Leute zu imponieren, die wir nicht mögen“

    Einmal editiert, zuletzt von Buddabread (29. Oktober 2015 um 13:46)

  • Ich denke, da wird keiner erwachen, weil: Die haben ja alle nichts zu verbergen! *augenroll*


    Zum Ersten: Vielen Dank für den sehr informativen Link. Irgendwie bestätigt das meinen Verdacht!
    Zum Zweiten: Interessant wäre jetzt noch, wenn die Wissenschaftler auch noch Threema testen würden. Das Ergebnis würde mich brennend interessieren!

    Einmal editiert, zuletzt von Mogli (29. Oktober 2015 um 21:32)

  • Hatte letztens ein paar Vorlesungen IT-Sicherheit und ich muss sagen, die Verschlüsselung von Threema ist eine Festung, sofern die Entwickler das ganze gut implementiert haben, wovon ich ausgehe ;)

    Wikipedia:
    Threema nutzt die offene NaCl-Bibliothek für Kommunikation und Verschlüsselung. Es werden 256 Bit lange asymmetrische Schlüssel verwendet, die mittels Elliptic Curve Cryptography erzeugt werden und die laut Aussage des NIST mit 3072 Bit langen RSA-Schlüsseln vergleichbar seien. Dieser Schlüssel wird benutzt, um für jede gesendete Nachricht einen einmaligen symmetrischen 256-Bit-Schlüssel zu erhalten. Zum endgültigen Verschlüsseln der Nachricht wird der XSalsa20 Stream Cipher genutzt. Weiterhin ist die Kommunikation zwischen dem Threema-Server und dem Endgerät ebenfalls verschlüsselt.[21] Ein 128 Bit langer Verifikationscode sowie eine zufällige Anzahl an „kryptographischen Füllbytes“ werden zu jeder Nachricht hinzugefügt, um Manipulationen am Inhalt der Nachricht zu verhindern.

    ______________________________________________________________________________________________
    "Wir kaufen Dinge, die wir nicht brauchen, mit Geld, das wir nicht haben um Leute zu imponieren, die wir nicht mögen“

    Einmal editiert, zuletzt von Buddabread (29. Oktober 2015 um 21:59)

  • Lässt sich das auch belegen?


    Klingt hier nämlich weniger dramatisch:

    Zitat


    Der Journalist Andreas Rickmann zeigt sehr gut in seinem Blog, dass sich die umstrittene Passage in den AGBs von WhatsApp gar nicht auf die Fotos oder Texte bezieht, die wir in der privaten Kommunikation oder in Gruppen-Chats teilen. Konkret geht es um das vom Nutzer hinterlegte Profilbild, dem aktuellen Profil-Status-Update (wie "bin im Kino") oder die Information, wann der Nutzer zuletzt online war. WhatsApp benötigt die Nutzungsrechte, um diese Daten anderen Nutzern zur Verfügung zu stellen. Hätte WhatsApp dieses Nutzungsrecht nicht, könnten sich Nutzer nicht die Profilbilder anderer Nutzer anschauen.

    Quelle: http://www.rp-online.de/digitales/apps…r-aid-1.4269677


    Nach amerikanischem Recht braucht Whatsapp angeblich die Rechte an den Profilbildern, um sie global im Whatsapp-Universum anderen Leuten, die deine Telefonnummer haben, zur Verfügung zu stellen. Aber so wie ich das lese, hat das nichts mit Inhalten aus den Chats oder anderen verschickten Medien zu tun.

    Einmal editiert, zuletzt von threemat (30. Oktober 2015 um 10:15)

  • Das stimmt, offiziell geht es tatsächlich nur um Profilbild und Status (sowie weitere Berechtigungen, die hilfreich sein können, um bestimmte Dienste verfügbar zu machen).

    Trotzdem bin ich bei sowas immer vorsichtig:
    Wenn die Haustüre offen steht, heißt das natürlich nicht automatisch, dass jeder reingeht und klaut, aber die Gefahr ist hoch.
    Und wenn ein Recht den Müll mitzunehmen besteht, dann kann das Recht leicht gedehnt werden und andere Dinge können als Müll deklariert werden.
    Du verstehst was ich meine?
    [hr]
    Trotzdem steht auch hier nochmal: es geht explizit nur um den Status und das Profilbild

    http://www.medien-sicher.de/2015/04/wichti…en-zu-whatsapp/

    Allerdings den Teil mit dem Adressbuch auslesen nach deutschem Recht... Finde ich schon sehr spannend! ;)

    Einmal editiert, zuletzt von Anton (30. Oktober 2015 um 16:58)

  • Ob ne Klage Erfolg bringt :)
    " Laut deutschem Datenschutzgesetz müsste man all diese Personen eigentlich vorab fragen, ob sie der Übermittlung Ihrer Daten an die Betreiber von WhatsApp zustimmen (wenn man sich rechtlich absichern möchte, lässt man sich diese Zustimmung besser schriftlich geben..)"

    -----
    meine Threema-ID lautet: BKPCJN5W

  • @ok-mobil

    Es werden auch alle Deine Kontakte zu WA übertragen. Hast Du diejenigen die nicht bei WA sind gefragt ob sie damit einverstanden sind? Könnte Dir persönlich auch eine Datenschutzklage einbringen.

    Samsung SM-G900F - LaOS 18.1 - TWRP - OpenGapps nano + GT-I9100 - LaOS 15.1 - TWRP - OpenGapps pico + Asus Padfone T00C - Dont drink as root


    Zu meiner Webseite


  • Ich denke, da wird keiner erwachen, weil: Die haben ja alle nichts zu verbergen! *augenroll*


    Zum Ersten: Vielen Dank für den sehr informativen Link. Irgendwie bestätigt das meinen Verdacht!
    Zum Zweiten: Interessant wäre jetzt noch, wenn die Wissenschaftler auch noch Threema testen würden. Das Ergebnis würde mich brennend interessieren!

    Ja mich auch, viel mehr wie WA.


  • Da brauchst du nun wirklich kein Wissenschaftler sein um das zu testen, aber ohne es zu testen, kann ich dir sagen, dass Threema das sicherlich nicht macht.

    Wie testet man dies denn?
    Und wieso bist du dir bei Threema so sicher?

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Zum testen: Setze einen WebServer auf. Und dann tippe den Link in Threema ein (& sende ihn ab) und schaue in die WebServer-Protkolle ob es einen Zugriff gibt.

    Und warum ich mir da sicher bin? Weil:
    1) Es keinen Sinn für so einen Zugriff gibt. Im Gegensatz zu WhatsApp wird keinerlei "Link-Vorschau" angezeigt.
    2) Threema mit so einem "Feature" das Vertrauen der Nutzer komplett zerstören würde. Das würden sie nicht eingehen, denn davon leben sie.

    Zum Spaß habe ich es mal getestet (mit Threema Web) und, nein, Threema ruft die URL nicht auf.

  • Sorry ich dachte es dreht sich noch um die Kommunikationsprotokolle.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.