Facebooks beliebte Kommunikationsplattform WhatsApp ist am heutigen Tag einmal mehr in den Fokus von Datenschützern geraten. Grund dafür ist die Web-Anwendung WhatsSpy Public von Entwickler Maikel Zweerink, die deutlich aufzeigen kann, dass die Privatssphäreeinstellungen innerhalb des WhatsApp-Clients für diverse mobile Betriebssysteme praktisch nutzlos sind.
Die App der Facebook-Tochter WhatsApp bietet beispielsweise unter Android oder iOS spezifische Einstellmöglichkeiten, die es Nutzern erlauben, festzulegen, welche persönlichen Informationen von Kontakten eingesehen werden können und welche nicht. Zu diesen Informationen zählt unter anderem der Onlinestatus. Die von Zweerink geschriebene Anwendung WhatsSpy legt nun allerdings offen, dass sich Nutzer ganz und gar nicht auf diese Einstellungen verlassen sollten. Mit Hilfe von WhatsSpy kann nach Eingabe einer beliebigen Telefonnummer beispielsweise nachvollzogen werden, wann eine bestimmte Person über den Messaging-Service zuletzt online war – und das auch dann, wenn der Nutzer in den Datenschutzeinstellungen von WhatsApp Dritten diese Einsicht explizit untersagt.
Die Schwachstelle, die WhatsSpy bei WhatsApp offenlegt, geht allerdings noch über das Auslesen der Online-Aktivität eines Nutzers hinaus. Über die Web-Anwendung lassen sich auch Profilbilder und Status-Nachrichten einsehen und sogar zu den zuletzt getätigten Account-Änderungen liegen plötzlich Informationen zum Inspizieren parat.
Beim Bewerten dieses Sicherheitslecks von WhatsApp muss an dieser Stelle noch einmal klar und deutlich gesagt werden, dass WhatsSpy Public nicht nur das Auslesen von Privatssphäreeinstellungen einiger bekannter Personen erlaubt, sondern theoretisch von jeder Telefonnummer, die einem WhatsApp-Account zugeordnet wurde.
Bedeutende Konsequenzen müssen WhatsApp-Nutzer jetzt allerdings trotz der von Maikel Zweerink aufgezeigten Problematik nicht befürchten. Erstens ist ein gewisser Aufwand und etwas Hintergrundwissen nötig, um WhatsSpy Public überhaupt einrichten und verwenden zu können, und zweitens ist es – zumindest aktuell – auf diesem Weg nicht möglich, wirklich sensible Daten wie versendete Nachrichten, Fotos oder Sprachdateien abzugreifen.