WhatsApp

- Lesezeit: 8 Minuten / ganze Rubrik: 34 Minuten -

Allgemein

WhatsApp ist ein geschlossenes System, nutzt ausschließlich Telefonnummern für die Registrierung und hat den Firmensitz in den Vereinigten Staaten von Amerika (USA).

Vor-/Nachteile in der Kürze:

  • positiv: extrem gut verbreitet - insbesondere in Europa und den USA
  • positiv: Nutzungsbedingungen (extern) und Datenschutzrichtlinie (extern) auf Deutsch
  • negativ: zentraler Dienst - keine Interoperabilität
  • negativ: Datenschutzbedenken und in der Folge Nutzungsverbot in vielen Bereichen (in Firmen, Bildungseinrichtungen, Verwaltung, …)
  • negativ: Serversoftware basiert auf öffentlichem Standard, der firmenintern für eigene Zwecke geändert und angepasst wurde
  • negativ: Verschlüsselung basiert lediglich auf Programmcode mit öffentlicher Lizenz (unklare Rechtslage (extern)
    Lizenz von WhatsApp (Firmeneigentum) ist nicht vereinbar mit der GPLv3-Lizenz der Programmbibliothek ‘libsignal-protocol-java’ -> es ist geheim und nicht überprüfbar, was und wie tatsächlich verschlüsselt wird.
  • negativ: Mindestalter 13 Jahre (kann je Land abweichend sein)
  • negativ: Maximale Teilnehmerzahl in Gruppen: 256
  • negativ: Dateigrößenbeschränkung auf max. 100 MB bei Android und iOS, 64 MB bei der Nutzung des Webclients auf dem Desktop
  • negativ: ausschließlich Telefonnummer als Kennung (egal ob mit/ohne Hash)
  • negativ: in Gruppenchats wird die eigene Telefonnummer den anderen angezeigt
  • negativ: kein eigenständiger Desktop-Client (ohne Smartphone keine Anmeldung/Nutzung)
  • negativ: keine Mehrgerätefähigkeit (ein Chatkonto auf mehreren unabhängigen Geräten nutzen)
  • negativ: auf Desktop nur mittels Webclient nutzbar - kein eigenständiger Desktop-Client

WhatsApp ist zwar im privaten Bereich sehr beliebt - trotzdem zu Recht umstritten, denn Punkte wie Privatsphäre, Datenschutz, Freiheit und Unabhängigkeit kommen zu kurz:

Rechtsprechung

Urteil Amtsgericht Hersfeld vom 15.05.2017:

„Wer den Messenger-Dienst “WhatsApp” nutzt, übermittelt nach den technischen Vorgaben des Dienstes fortlaufend Daten in Klardaten-Form von allen in dem eigenen Smartphone-Adressbuch eingetragenen Kontaktpersonen an das hinter dem Dienst stehende Unternehmen.
Wer durch seine Nutzung von “WhatsApp” diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“

Quelle: https://www.lareda.hessenrecht.hessen.de/bshe/document/LARE190000030 (extern)

Verbot von WhatsApp an Schulen

Der Einsatz von WhatsApp an Schulen ist ganz klar geregelt: WhatsApp ist verboten.

Aus gutem Grund gibt es deshalb entsprechende Vorgaben und Hinweise der für die Bildung zuständigen Landesschulbehörden wie beispielsweise:

  • Kultusministeriums Baden-Württemberg: Kommunikationsplattformen am Beispiel WhatsApp (extern)
    Auszug:
    „… Zusammenfassend ist daher festzustellen, dass jede dienstliche Nutzung von WhatsApp an Schulen aus datenschutzrechtlichen Gründen unzulässig ist. …“

Aber auch die Landesdatenschutzbeauftragten haben hierzu eine klare Stellung:

Verbot von WhatsApp in Firmen bzw. der Verwaltung

Hier ist eine Nutzung i.d.R. ebenfalls offiziell verboten. In vielen Bereichen wird es - auf Grund nicht bekannter Alternativen dennoch unerlaubt und intensiv genutzt. Teilweise wird das sogar von den Vorgesetzten geduldet, was eine klare Führungsschwäche darstellt.
Deshalb muß dieses Problem offen angesprochen und ggf. über den Datenschutzbeauftragten eskaliert werden.

Offenes WhatsApp

Zu Recht fordert die Bundesjustizministerin eine Öffnung von WhatsApp.

Aktion #DeleteWhatsApp

Der aus dem Facebook-Konzern (jetzt „Meta“) ausgestiegene Brian Acton (WhatsApp-Mitgründer) ruft zum Löschen von WhatsApp auf.

Aber: Datensammeln geht auch ohne Konto weiter:
„Um Zugriff auf eure Daten zu erhalten, hat Whatsapp nicht etwa versteckte Hintertürchen nötig, sondern greift lediglich auf die digitalen Telefonbücher eurer Kontakte zu. Hat euer bester Freund beispielsweise euren Geburtstag, euren Wohnort, eure E-Mail-Adresse, eure Telefonnummer(n), die Namen und Daten eurer Familie, eure Webseite, euren Twitter-Namen und diverse weiterer Daten unter eurem Namen gespeichert und gewährt Whatsapp Zugriff auf das Telefonbuch, liest der Messenger all diese Daten ebenfalls aus.
Wenn ihr also wirklich sichergehen wollt, dass Whatsapp und Facebook so wenig wie möglich über euch wissen, müsst ihr alle eure Kontakte darauf hinweisen, eure Daten, die über das Nötigste hinausgehen, von ihren Telefonen zu löschen.“

Quelle: (businessinsider](https://www.businessinsider.de/tech/whatsapp-sammelt-eure-daten-selbst-wenn-ihr-den-messenger-nicht-benutzt) (extern)

Überwachung mit WhatsApp

Die Frage „Kann und darf man WhatsApp für Überwachungszwecke verwenden?“ ist spannend.
Antworten gibt es >> hier <<.

Tipps

Blockieren

In manchen Fällen kann es erforderlich sein, den Zugriff der App auf das Internet zu blockieren. Hierzu gibt es mehrere sehr interessante (englischsprachige) Quellen:

  • Anatomy of WhatsApp Messenger (extern; Somanathan Gohulan; Stand 11.03.2018)
    Zitat:
    „If we needs to block WhatsApp fully, try to block e.whatsapp.net — e5.whatsapp.net, because this is for the initial handshake which never allows to use WhatsApp.“
  • HOWTO-blocking-WhatsApp (extern; afwall; Stand 04.03.2019) mit sehr vielen interessanten Details zu verwendeten IP-Adressen, Ports und der Verschlüsselung von WhatsApp.
    Zitat auch hier:
    „It’s normally more then enough to block e.whatsapp.net - e5.whatsapp.net, because this is for the initial handshake which means if that fails you can’t receive/send any message. You should try this first.“

Registrierung ohne Mobilnummer

Für die Registrierung ist es nicht erforderlich, seine tatsächlich genutzte Mobilnummer anzugeben. Man kann hierfür eine extra SIM-Karte mit anderer Mobilnummer verwenden - oder auch eine ungenutzte Festnetznummer (funktioniert auch mit der Telefonnummer einer öffentlichen Telefonzelle!). In diesem Fall bekommt man die Bestätigungs-SMS mit dem Überprüfungscode telefonisch vorgelesen.

Quellen:

WhatsDeleted

Um Nachrichten vor dem Löschen des Senders zu retten, kann die App WhatsDeleted eingesetzt werden. Dabei werden die Nachrichten und Medien in eine lokale Sicherung kopiert, so daß man auf diese auch noch Zugriff hat, wenn der Absender die ursprüngliche Nachricht gelöscht hat.

Projektseite: https://f-droid.org/packages/com.gmail.anubhavdas54.whatsdeleted (extern)

Entschlüsseln der Datenbank

Der private Schlüssel für die WhatsApp-(und auch Signal-)db ist im Klatext auf dem Gerät gespeichert (/data/data/com.whatsapp/files/key), kann per ADB ausgelesen und die Daten dann mit TriCrypt/OmniCrypt entschlüsselt werden. Alles was man braucht ist als App bei XDA verfügbar oder online auch bei whatcrypt.com (extern)

Projektseite: https://github.com/EliteAndroidApps/WhatsApp-Key-DB-Extractor (extern)

Backup-Popup

Wenn man bei der Frage nach den zu erstellenden Backups „niemals“ auswählt, wird man alle paar Wochen mit einem Popup belästigt und gefragt, wann die Sicherung (auch in die Cloud) erfolgen soll. Das läßt sich nicht abschalten und kommt wieder und wieder - bis man irgendwann versehentlich oder genervt auf „täglich“, „wöchentlich“ oder „monatlich“ klickt … sehr ärgerlich, also Vorsicht!

Spezialwissen

WhatsApp, what’s inside?

Als Nachrichtenformat verwendet WhatsApp eine modifizierte Version des XMPP-Protokolls. Alle Nachrichten werden komprimiert, indem häufig verwendete Wörter durch 1- oder 2-Byte-Token ersetzt werden (z.B. wird statt “Nachricht” ein Byte 0x5f geschrieben), was zu dem sogenannten „Functional XMPP“ / FunXMPP (offizielle Bezeichnung: chatd) führt. Einen sehr interessanten und tiefen Blick in die Internas bekommt man bei umumble.com (extern; englisch).

Hier gibt es noch eine weitere schöne (kürzere) Information dazu: https://git.triangulation.nl/koenk/whatspoke/blob/master/doc/funxmpp.md (extern; englisch)

Netzwerkeinstellungen wie Protokolle, Ports, IP-Adressen, Hostnamen: https://developers.facebook.com/docs/whatsapp/guides/network-requirements (extern; englisch)

Welche Ports verwendet WhatsApp? (extern)
Aktuell verwendet WhatsApp verschiedene Ports. Dazu gehört nicht nur der Port TCP 443 (HTTPS) und TCP 80 (HTTP) sondern auch die Portnummern 4244, 5222, 5223, 5228 und 5242 (alles TCP). Die letzteren Ports werden meist dann verwendet, wenn man die Sprach- oder Videoanrufe von dem Instant Messenger unter Android oder iOS (iPhone) nutzt. Größtenteils verwendet WhatsApp bei der normalen Nutzung aber meistens die Ports 443, 80 und 5222.

Infos auf Wikipedia: https://de.wikipedia.org/wiki/WhatsApp#Protokollkanäle (extern)

Unnützes Wissen

Das Erbe ist heute immer noch in WhatsApp zu finden - so wurde in der msgstore.db der Begriff „jid“ beibehalten als „jid_row_id“ und die Jabber-Idendifizierungsnummer (JID) einer Whats-App-Gruppe lautet „[telefonnummer]-[creation-timestamp]@g.us“

Antwort auf die Frage, ob WhatsApp die Kontaktnamen auch lokal speichert: Ja - in der wa.db, wa_contacts Tabelle, Feld display_name und given_name

Sonstiges

Nicht jeder kann/will WhatsApp (oder eine andere Insellösung) löschen - und hat hierzu auch immer wieder mal eine Frage. Deshalb gibt es sogar hierzu einen öffentlichen Chatraum:

„WhatsApp & andere proprietäre Messenger“
Themenschwerpunkte in diesem öffentlichen Chatraum (=Gruppe/Konferenz) sind proprietäre Messenger (Insellösungen). Insbesondere WhatsApp, aber auch Signal, Threema, Telegram, …
Adresse: xmpp:whatsapp@conference.trashserver.net

Warum über anbieterunabhängigen Chat? Weil es mit freien Messengern einfach funktioniert ;-)


Wer Whatsapp liebt, sollte folgenden Blog-Artikel besser nicht lesen - oder vielleicht gerade deshalb, denn bekanntlich macht Liebe oft blind …
https://blog.pohlers-web.de/wie-du-bist-nicht-bei-whatsapp/ (extern)