Gefällt dir dieser Artikel?

Datenschutz: WhatsApp ruft sämtliche URLs auf

erschienen in der Kategorie Android, am 15.06.2017
Schnatterente
Mich hat gerade ein Leser auf diesen Tweet aufmerksam gemacht: Die im Tweet und in den Antworten anderer Twitternutzer enthaltenen Screenshots zeigen jeweils Auszüge aus den Zugriffslogdateien von Webservern. In diesen ist ersichtlich, dass der Smartphone-Messenger WhatsApp automatisch URLs abruft. Vermutlich geschieht dies, um dem Anwender, für über den Chat ausgetauschte Links, kleine Voransichten bereitzustellen, wie man sie zum Beispiel auch von Twitter und Facebook kennt.

Auffällig ist hierbei, dass WhatsApp nicht nur den endgültigen Link abfragt, sondern bei der händischen URL-Eingabe nach jedem neuen Zeichen versucht, die bereits eingetippte Webadresse zu erreichen, wodurch bei langen URLs sehr viele HTTP-Requests entstehen.

Man kann nun darüber spekulieren, warum die WhatsApp-Entwickler das so umgesetzt haben. Fakt ist aber, dass diese Form des automatischen Abrufens von Onlineressourcen aus mehreren Gründen kritisch zu betrachten ist.
Die unvollständig eingegebenen Links können in einigen Fällen auf ganz andere Webinhalte und -seiten verweisen, als die vollständige URL. Fügt man einen Text in die Eingabemaske von WhatsApp ein, welcher einen Link enthält, so wird dessen Aufruf ebenfalls sofort getriggert, auch wenn der Nutzer den Link vorm Versenden der Nachricht möglicherweise noch entfernen möchte.
WhatsApp ruft also alle möglichen URLs auf, auch wenn der Nutzer diese nicht absichtlich eingegeben hat. Dieses Verhalten kann zu unerwünschten Effekten führen, wie beispielsweise dem unbeabsichtigten, automatischen Abrufen von malwareverseuchten Webseiten oder von Seiten mit rechtswidrigen Inhalten.

Auch ganz allgemein betrachtet, ist das automatische Abfragen von Internetseiten im Falle von WhatsApp ein schwieriges Unterfangen. Denn anders als bei Facebook und Twitter erfolgt der Webseitenaufruf hier nicht über einen Server des Unternehmens, sondern direkt vom Smartphone des App-Nutzers aus. Das ist datenschutz- und sicherheitstechnisch äußerst problematisch.

Der Betreiber der jeweiligen Webseite erfährt (wie man an den Log-Dateien sehen kann) die IP-Adresse des WhatsApp-Nutzers sowie dessen App-Version. Somit hat er einen Datensatz in der Hand, mit dessen Hilfe er unter Umständen nachvollziehen kann, wer sich da für seine Webseite interessiert.
Rufen mehrere WhatsApp-Messenger die Ressource zeitgleich auf, so kann der Serverbetreiber eventuell sogar identifizieren, welche Nutzer sich gerade über seine Webseite unterhalten. Dieser Umstand untergräbt die in der WhatsApp genutzte und vom Unternehmen oft beworbene Ende-zu-Ende-Verschlüsselung, da durch das Versenden von Links vertrauliche Informationen an Dritte (die Serverbetreiber) übertragen werden.

Verwendet der Nutzer eine (ggf. ältere) WhatsApp-Version, die eine sicherheitskritische Lücke aufweist, welche sich für einen Exploit nutzen lässt, so wird die Übertragung der Programmversion innerhalb des User-Agents zu einem weiteren Sicherheitsproblem, denn die verwundbare Anwendung macht quasi aktiv auf sich aufmerksam. Ist in der von WhatsApp abgerufenen Webseite ein Bild über das Open-Graph-Protokoll verlinkt, so kann der Betreiber des Zielservers zudem auch noch erkennen, welches Smartphone der Nutzer verwendet und welche Betriebssystemversion auf diesem installiert ist. Diese Daten lassen ebenfalls Rückschlüsse auf Sicherheitslücken zu. (Wobei an dieser Stelle erwähnt sei, dass die meisten Browser diese Daten ebenfalls über den User-Agent übertragen.)

Das Abrufen von unvollständig eingegebenen URLs erzeugt zudem unnötigen Traffic beim WhatsApp-Nutzer, der ja in der Regel nur ein begrenztes Datenvolumen zur Verfügung hat, und auch beim angefragten Zielserver.

Zusammenfassend lässt sich festhalten, dass die WhatsApp-Entwickler wohl nicht wirklich ausreichend nachgedacht haben, als sie diese Funktion in der Form auf die Welt losgelassen haben.
Wer mit einer (umstrittenen) Ende-zu-Ende-Verschlüsselung wirbt, hat das Problem, dass man nicht einfach an den unternehmenseigenen Server übertragen kann, welche Webseiten die Nutzer verlinken. Dem folgend bleibt den App-Entwicklern in Sachen Link-Vorschau nichts anderes übrig, als diese von den Client-Geräten selbst erzeugen zu lassen oder gänzlich auf dieses Feature zu verzichten.
Betrachtet man die in WhatsApp vorliegende Implementierung, die alles abruft, was irgendwie einer URL ähnelt, wäre die zweite Variante wohl besser gewesen.
Danke, Armas.

Geschnatter

8 Kommentare, selbst mitschnattern << < Seite 2/2 > >>
Tobi, am 24.12.2017 um 11:22 Uhr
Sind halt alles Datensammelwerkzeuge … bei kostenlosen Diensten gilt: Wir sind das Produkt, nicht die Apps.