-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

-Produktempfehlung: Kaspersky lab-

WhatsApp – für alle diejenigen, die WhatsApp nicht kennen: Es handelt sich hierbei um einen Nachrichtendienst, der kostengünstig (über einen recht langen Zeitraum sogar gratis) Nachrichten, Bilder, Dateien und auch Sprachbotschaften übersendet.

Wichtig dabei ist, dass man die App installiert hat und das eigene Smartphone auch WhatsApp fähig ist.

WhatsApp
(Screenshot: www.whatsapp.com)

Nun ist WhatsApp in den letzten Jahren immer wieder durch Sicherheitslücken aufgefallen und vielen Nutzern war ohnehin schon klar, dass man in den Nachrichten keine vertraulichen Informationen versenden soll.

Die Diskussion um WhatsApp hat am gestrigen Tage nochmals an Aktualität gewonnen, da in der überregionalen Zeitung WAZ ein Artikel zu WhatsApp erschienen ist, der in aller Deutlichkeit mit Hilfe eines EDV-Spezialisten die Gefahren und Möglichkeiten der App beleuchtet.

Wie die "Super-Wanze" Whatsapp die Privatsphäre aushöhlt
(Screenshot www.derwesten.de)

Der Text ist unter folgendem Link nachzulesen:
http://www.derwesten.de/staedte/hohenlimburg/wie-die-super-wanze-whatsapp-die-privatsphaere-aushoehlt-id8973421.html

Wir wollen nun nicht weiter auf den Inhalt des Berichtes eingehen, wir wollen auch nicht die einzelnen Aspekte wiederholen.

Wir möchten an dieser Stelle den vielfachen Anfragen, welche uns zu diesem Artikel erreicht haben, eine Antwort geben:

Ja, diese Möglichkeiten sind der App gegeben.

Auch ZDDK / Mimikama.at hat, aufgrund des Berichtes, einen Medienentwickler befragt und hat folgende Bestätigung bekommen:

image Webernig Ingo von WeAppU.com: 
Das ist nichts Neues! Ich kann alles bestätigen und Unterstreichen was der Artikel sagt. Vor allem den Satz: „Das muss jeder User für sich entscheiden“!
Was ich noch ergänzen würde wäre (Und das tun die meisten Leute leider nicht wenn Sie eine App Installieren) sich die BERECHTIGUNGEN durchzulesen VOR dem Installieren.

Meist sind nämlich in der „Google-Beschreibung“ diese zwar vorhanden, werden aber nicht gelesen. Dann ladet der User die App aus dem Store und die Installation wird am Handy gestartet. Jedoch muss er ja dort nochmal explizit zustimmen und das liest sich fast kein Nutzer durch. Was ein großer Fehler ist. Einmal OKAY geklickt und der App Entwickler hat vollen Zugriff auf die Daten am Handy.

 

-Anzeige-

Apps und ihre Berechtigungen

Es ist völlig normal, dass eine App Berechtigungen benötigt, das ist sogar zwangsweise nötige, damit diese überhaupt funktionieren.

Je nach App und je nach dem, wie viel eine App können und machen soll, stimmt man einem mehr oder weniger langem Berechtigungskatalog zu.

Viele Berechtigungen klingen anfangs haarsträubend und vielleicht auch gefährlich. Im Falle von WhatsApp möchten wir mit Hilfe von Theo Tzaferis die Berechtigungen gerne näher beleuchten:

Dazu würde ich gerne einleitend sagen, dass sich aus einer langen Berechtigungsliste nicht automatisch ein Vorwurf ableiten lässt, aber WhatsApp von einer Schuld freisprechen möchte ich damit auch nicht. Mein Ziel mit diesem Beitrag ist es nur den Lesern zu erläutern warum WhatsApp diese ganzen Berechtigungen braucht und warum viele Berechtigungen harmloser sein können als sie aussehen. Das möchte ich tun, indem ich die Berechtigungen aufliste und anschließend einzeln besser erkläre und erläutere:

· Ihre Konten
· Konten auf dem Gerät suchen
· Konten auf dem Gerät verwenden
· Konten hinzufügen oder entfernen
· Konten erstellen und Passwörter festlegen

Grund: Wenn Ihr mit dem Android-Phone in die Einstellungen geht, seht Ihr dort die Konten (z.B. Facebook, Google, Shazam etc.) – Damit eine App das tun kann, braucht sie den Account Manager. Zum Beispiel um den zu checken ob ein WhatsApp-Account besteht ist die Funktion “getAccountsByType” notwendig, die die Berechtigung “GET_ACCOUNTS” benötigt. Um ein Konto hinzuzufügen braucht die App die Berechtigung “MANAGE_ACCOUNTS”, also Kontenverwalten. Das gleiche gilt auch für Kontos hinzufügen und löschen.

Gibt es denn da ein Risiko?

Nein, im Grunde genommen nicht. Will eine App also beispielsweise euren Google-Account abfragen, dann braucht die App eine explizite Berechtigung, da dafür AUTH-Token benutzt werden müssen um Zugriffe zu gewährleisten. Wie man jetzt gut sehen kann, ist die Liste bereits um 5 Berechtigungen geschrumpft.

· Google-Servicekonfiguration lesen
· Standort
· Ungefährer Standort (netzwerkbasiert)
· Genauer Standort (GPS- und netzwerkbasiert)

Grund: Mit der Google-Servicekonfiguration werden die neuen Google Play Services benutzbar gemacht, also: Google Maps, Google Play In-App Billing, Google+, Google Wallet, Google Cloud, Google Analytics, Google Cloud Messaging, Google Mobile Ads. Google selbst sagt, dass für die Android API diese Berechtigung benötigt wird. Der ungefähre und genaue Standort KANN genutzt werden, ist aber nicht notwendig. Hier nochmal zum Nachlesen. Ich denke, kann aber nicht mit hundert prozentiger Sicherheit sagen, dass es sich hierbei darum handelt, anderen Usern seinen Standort mitzuteilen.

· Ihre Nachrichten
· SMS empfangen SMS senden
· Telefonanrufe

Grund: Erinnert ihr euch daran, dass ihr WhatsApp das erste Mal installiert habt? Was musstet ihr machen? Genau, eure Handynr. angeben, damit WhatsApp entweder eine SMS senden oder einen Telefonanruf tätigen kann um euer Konto zu bestätigen. Das geht sogar meistens automatisiert, ohne, dass Ihr den Bestaetigungscode manuell eingeben muesst. Und wie? Genau, indem es auf die SMS zugreift.

· Netzkommunikation
· Daten aus dem Internet abrufen
· Zugriff auf alle Netzwerke
· Netzwerkverbindungen abrufen
· WLAN-Verbindungen abrufen
· WLAN-Verbindungen herstellen und trennen

Grund: Ich denke nicht, dass ich hierzu etwas naeher erlaeutern kann. Das WhatsApp Internetzugriff braucht ist klar, dass es checken muss ob eine Internetverbindung vorliegt ebenfalls (immerhin startet die App ja nicht, wenn keine Internetverbindung vorliegt). Für die WLAN-Berechtigungen hier eine offizielle Antwort vom Support

We stated in the new update for the permission of configuring Wi-Fi as we added a new feature if a user connects to a unstable Wi-Fi connection, WhatsApp will notify the user that in order to connect, we suggest the user to turn off Wi-Fi. WhatsApp should not be turning on your Wi-Fi connection without your permission and we do not have the ability to turn in on automatically. We also do not automatically turn off your Wi-Fi connection unless the user acknowledges the notification.

Kontaktkarten lesen – Lesen der Kontakte um zu checken, welcher dieser Kontakte auch WhatsApp besitzt
Telefonstatus und Identität abrufen – Damit kann die IMEI und Telefonnr. abgefragt werden, also eine Berechtigung die es praktisch WhatsApp erlaubt euch im System wiederzufinden.
Telefonnummern direkt anrufen – Wenn ihr im Chat mit einer Person seid und euch die Optionen anguckt, habt ihr folgende Möglichkeiten: Kontakt anzeigen/Medien/Suchen/Anruf/Hintergrund/Mehr. – Praktisch gesehen also, erlaubt diese Berechtigung die Funktion einen Kontakt direkt über das Kontextmenu anzurufen. Beim ersten Mal werdet ihr auch gefragt ob ihr das wirklich tun wollt da Kosten anfallen könnten. Ein User auf stackoverflow.com sagte ausserdem dazu:

Another possible reason is so they can mute audio events if you’re in the middle of a call. This is why apps like Pandora, Spotify, etc need the permission – so they can mute themselves when you get a call.

Speicher, Zugriff auf geschützten Speicher testen & USB-Speicherinhalte ändern oder löschen – Simpel: Speichern von Medieninhalten und selbst Caching! braucht diese Berechtigungen. Also erlaubt es einem Programm, oder aber ladet die Daten jedes Mal neu hinunter und speichert nichts ab.

Systemeinstellungen ändern – Damit könnte gemeint sein, dass WhatsApp ja in den eigenen Einstellungen viel ändern kann. Also die LED-Farbe bei Benachrichtigungen, den Ton, die Vibrationsdauer. Das sind alles Systemeinstellungen.

Verknüpfungen installieren & Verknüpfungen deinstallieren – Beim Installieren und Deinstallieren werden Verknuepfungen auf dem Home-Screen erstellt/geloescht. System-Tools gehoert übrigens dazu, daher kann man das nicht als einen alleinstehenden Punkt handhaben.

Beim Start ausführen – Damit wird die App einfach nur beim Start ausgeführt. Das sorgt dafür, dass ihr sofort die Nachrichten erhaltet ohne, dass Ihr die App immer zuerst starten muesst.

Informationen zu Ihren Apps – Aktive Apps abrufen – Informationen zu Ihren Apps ist ein Oberbegriff. Das heißt, wenn man aktive Apps haben möchte, braucht man definitiv auch die Berechtigung Informatinen zu Ihren Apps. Das hat dabei nichts damit zu tun, dass es mehr Berechtigungen sind.

· Kamera
· Bilder und Videos aufnehmen
· Mikrofon
· Audio aufnehmen

Grund: Sollte hier, denke ich auch klar sein. Man hat die Möglichkeiten Sprachnachrichten zu senden und direkt ein Foto aufzunehmen und es zu senden. Nichts besonders.
Ihre sozialen Informationen, Kontakte lesen & Kontakte ändern –Was hiermit gemacht wird ist auch klar. Damit kann WhatsApp ebenfalls Kontakte hinzufuegen und verändern.

Auswirkungen auf den Akku – Kann ich mir nur damit erklären, dass WhatsApp Statistiken über den Akkuverbrauch pflegt. Im Grunde genommen aber nutzlose und unnötige Berechtigung für die Nutzung der App

Ruhezustand deaktivieren & Vibrationsalarm steuern – Wird genutzt um Push-Notifications zu aktivieren.

Synchronisierungseinstellungen, Synchronisierungsstatistiken lesen, Synchronisierungseinstellungen lesen, Synchronisierung aktivieren oder deaktivieren – Wie man hier nachlesen kann, ist das Wiederherstellen eines Verlaufes nur mit Android und iPhone möglich. Um das zu gewährleisten werden Synchronisationseinstellungen abgefragt. Dieses “Feature” bemerkt ihr, wenn ihr WhatsApp neu installiert. Dann checkt die App die Synchronisationseinstellungen. Je nachdem wird die Synchronisation dann aktiviert oder nicht. Anschließend fragt die App ob ihr den Verlauf wiederherstellen wollt.

Zum Schluss kann man dazu sagen, dass fast alle Berechtigungen „berechtigt“ sind.

Ledeglich 1-2 Berechtigungen müssten nicht sein. Ob WhatsApp teilweise Berechtigungen ausnutzt um mehr damit anzustellen kann man allerdings nicht sagen. Da Alternativen wie Threema aber auch nicht Open Source sind, muss man für sich selbst entscheiden welche Messaging-App man nutzt.

Welche App welche Berechtigungen ausnutzt weiß man selten, jedoch hoffe ich, dass ich euch mit diesem kleinen Beitrag näher erläutern konnte, warum WhatsApp die Berechtigungen braucht.

Und bevor jetzt jemand schreit, dass bei ZDDK/Mimikama wieder nur irgendwelche weltfremden Besserwisser sitzen:
Ich (Autor des Textes) werde weiterhin WhatsApp nutzen, da es meinen persönlichen Anforderungen Genüge leistet.

Autor: Theo Tzaferis (http://theo-tzaferis.de/blog/), Webernig Ingo (WeAppU.com) und Andre von Mimikama.at