Überwachung mit WhatsApp

- Lesezeit: 5 Minuten -

Kann und darf man WhatsApp für Überwachungszwecke verwenden?

Ja! und Nein!

Es ist ganz einfach, Freunde und/oder Fremde mittels WhatsApp auszuspionieren, da seit langem unbemerkt eine Sicherheitslücke klafft:

Nutzer des Messengers könnten mit Hilfe eines simplen Tricks überwacht werden. Der Niederländer Loran Kloeze sowie der US-amerikanische Software-Entwickler Robert Heaton legen auf ihren Seiten dar, wie einfach es ist, andere Nutzer im Messenger WhatApp zu überwachen. Die Schwachstelle ist der Online-Status, aus dem sich gezielt Informationen abfragen lassen. Alles was es zur Überwachung benötigt, ist die Telefonnummer des Opfers.

Der Online-Status wird durch eine Chrome-Erweiterung systematisch überwacht, während Web-WhatsApp gestartet ist. Durch die regelmäßige Abfrage lässt sich ein Aktivitätsprotokoll gewinnen, das wiederum Rückschlüsse auf den Tagesverlauf des Nutzers zulässt - etwa

  • wann dieser arbeitet,
  • zu Bett geht, oder
  • ob er die Nacht durchgeschlafen hat.

Auch das „Verbergen“ des Online-Status bringt dem Nutzer in diesem Spionage-Fall nichts. Durch den Abgleich zweier Telefonnummern lässt sich außerdem herausfinden, ob

  • zwei Personen regelmäßig miteinander kommunizieren und
  • zu welcher Uhrzeit sie das tun.

Die ausspionierten Informationen scheinen auf den ersten Blick unspektakulär und dürften für die wenigsten Nutzer ein großes Problem darstellen. Dennoch lassen sich durch die Sicherheitslücke ausführliche Nutzerprotokolle erstellen, für die Werbetreibende oder andere Interessenten eine Menge Geld bezahlen würden. Im schlimmsten Fall werden die erhobenen Daten für kriminelle Zwecke missbraucht.

Stellungnahme WhatsApp:

Kurz und knapp: WhatsApp ist sich der Lücke bewusst, sieht aber kein Sicherheitsproblem darin.


Demonstration / Experiment

Hier die (englischsprachigen) Erklärungen, wie es funktioniert. Voraussetzung für beide Experimente ist, dass “WhatsApp Web” im Browser gestartet ist.

1. Chrome-Erweiterung von Loran Kloeze

Bei dieser Chrome-Erweiterung werden viele aufeinander folgende Telefonnummern in einem frei wählbaren Bereich angezeigt.

Quelle: https://github.com/LoranKloeze/WhatsAllApp (extern)

2. Robert Heaton und sein „4-Zeilen-Code“

// NOTE - Requires jQuery
setInterval(function() {
  var lastSeen = $('.pane-header .chat-body .emojitext').last().text();
  console.log(Math.floor(Date.now() / 1000) + ", " + lastSeen);
}, 1000);

… der nur noch von “lastSeen” auf das Abrufen de “Online-Status’” geändert werden muss.

Quelle:
https://robertheaton.com/2017/10/09/tracking-friends-and-strangers-using-whatsapp/ (extern)

3. OnlineStatusMonitor

Auch die Universität Erlangen-Nürnberg zeigt mit ihrem Projekt „Onlinestatusmonitor“ (extern) die Möglichkeiten der Überwachung. Leider ist auch diese Seite nur englischsprachig

Ethische Überlegungen (übersetzt von den Inhalten des Internetauftritts)
Um die Privatsphäre jedes zufällig ausgewählten Nutzers zu schützen, basieren alle in diesem Abschnitt beschriebenen Statistiken auf anonymisierten Daten. Obwohl wir die genauen Online-Zeiten jedes Nutzers über mehrere Monate hinweg verfolgt haben, haben wir uns entschlossen, diese Daten nicht zu veröffentlichen, sondern nur durchschnittliche kumulierte Statistiken zu liefern. Darüber hinaus haben wir einige zusätzliche Maßnahmen ergriffen, wie z.B. die Unschärfe von Profilbildern und die Maskierung einzelner Telefonnummern. Der Datensatz wird nur zu Forschungszwecken verwendet und nicht weitergegeben. Diese Maßnahmen ermöglichen es uns, die praktische Relevanz und die Auswirkungen der permanenten Überwachung von Messenger-Nutzern aufzuzeigen und gleichzeitig sicherzustellen, dass die Privatsphäre jedes zufällig ausgewählten Messenger-Nutzers gewahrt bleibt.

4. Wissenschaftliche Ausarbeitung(en)

Universität Ulm (2014)

https://www.uni-ulm.de/fileadmin/website_uni_ulm/iui.inst.100/institut/Papers/Prof_Weber/2014-MUM-whatsapp-privacy.pdf (extern)

Wissenschaftliche Studie (2020)

In einer kollaborativen Zusammenarbeit der TU Darmstadt, der TU Graz und der Universität Würzburg wird gezeigt, dass aktuell verwendete Verfahren zur mobilen Kontaktermittlung die Privatsphäre von Nutzern massiv bedrohen:

Zitat: Unsere Studie dreier populärer mobiler Messenger (WhatsApp, Signal und Telegram) zeigt, dass entgegen aller Erwartungen sogenannte Crawling Angriffe in großem Stil möglich sind. Mittels einer akkuraten Datenbank von Präfixen für Mobilfunknummern und sehr wenigen Ressourcen ist es uns gelungen, 10% aller US Mobilfunknummern für WhatsApp und 100% für Signal abzufragen. Bezüglich Telegram zeigt sich, dass dessen API eine Reihe sensitiver Informationen preisgibt, selbst über Telefonnummern die nicht bei dem Dienst registriert sind.

Quelle: https://contact-discovery.github.io/de/ (extern)


Anmerkungen

Wichtig:
Die Informationen und das Script dient ausschließlich Demonstrationszwecken und dürfen nur für eine Überwachung eingesetzt werden, wenn die betroffenen Personen zustimmen!

Hinweise:

  • Das Script dient nicht zum Ausspionieren / Denunzieren von Personen, sondern soll die einfache Realisierung und das Gefahrenpotential deutlich machen.

  • Nutzung auf „eigene Gefahr“.

  • Anfragen zur Änderung/Anpassung des Scripts werden nicht beantwortet.

Alles was technisch möglich ist, wird gemacht - die Whats-App-Spionage ist da keine Ausnahme. Aber auch das „Fehlverhalten“ zentralisierter Dienste (Google/WhatsApp/Facebook, …) sollte nicht als Rechtfertiung für eigene „Spionage“ herhalten.

Wichtig:
Das Ausspähen der Privatsphäre von Freunden/Bekannten/Fremden ist unmoralisch, unhöflich und ggf. sogar verboten/strafbar!

Quellen:
https://www.hna.de/netzwelt/grosse-sicherheitsluecke-bei-whatsapp-entdeckt-zr-8318025.html http://www.chip.de/news/WhatsApp-Sicherheitsluecke-erlaubt-Ueberwachung-von-Freunden_124936240.html

englischsprachig:
https://www.lorankloeze.nl/2017/05/07/collecting-huge-amounts-of-data-with-whatsapp/
https://robertheaton.com/2017/10/09/tracking-friends-and-strangers-using-whatsapp/ https://www.onlinestatusmonitor.com


Weiterführende Informationen

Ergänzend zum Thema wird an dieser Stelle auf folgende Informationen hingewiesen:

  1. WhatsApp und Berechtigungen unter Android
  2. Systemvergleich von WhatsApp mit anderen (freien) Systemen
  3. Nutzungsverbot von WhatsApp an Schulen und in Firmen