Essen.. Wenn „WhatsApp“-Nutzer vorgehalten bekommen, der Kurznachrichtendienst sei eine „Super-Wanze“, werden Diskussionen schnell emotional. Wer lässt sich gerne ein schlechtes Gewissen einreden? Sicherheitslücken sind das eine Problem von WhatsApp. „Zugriffsrechte“, die die App verlangt, die anderen.

Wer die Frage „bist Du bei WhatsApp?“ verneint, erntet ungläubige Blicke. 30 Millionen Menschen in Deutschland nutzen die Kurznachrichten-App. Eine stattliche Verbreitung. Wer WhatsApp nutzt, muss dazu „Zugriffsrechte“ auf Mobilgerät gewähren – wie alle Apps. WhatsApp will 36 Berechtigungen - sonst läuft die App nicht auf einem Handy. Das sind ziemlich viele. Welche sind technisch berechtigt, welche könnten auch missbraucht werden?

Auch interessant

Aus Sicht des Düsseldorfer App-Entwicklers und Technik-Bloggers Theo Tzaferis „sind viele dieser Zugriffsrecht harmloser, als sie aussehen“. Er meint, „fast alle Berechtigungen bei WhatsApp sind auch berechtigt - wenn sie so genutzt werden, wie es für die Anwender sinnvoll ist“, schränkt aber Tzaferis ein. Denn das ist die Krux an den Zugriffsrechten, wie sie Google für App-Entwickler seines Android-Betriebssystems formuliert: „Google verrät nicht, für welche positiven oder negativen Zwecke Apps ihre Berechtigungen verwenden können“.

Der Berliner Torsten Grote, Aktivist für Freie Software, findet, gerade Anwendungen beim Betriebssystem Android saugen von Nutzern viel zu viele Daten. Er hat einen Blick auf die Zugriffsrechte von WhatsApp geworden. Seine Beurteilungen:

Zugriffsrechte "Ihre Konten"

  • Konten auf dem Gerät suchen
  • Konten erstellen und Passwörter festlegen
  • Konten hinzufügen oder entfernen
  • Konten auf dem Gerät verwenden
  • Google-Servicekonfiguration lesen

Torsten Grote: Das sind alles übliche Berechtigungen, die allerdings auch dazu verwendet werden können, zu erfahren, welche anderen Konten der Nutzer noch auf dem Gerät verwendet. Wenn WhatsApp auf diese anderen Konten zugreifen will, wird der Nutzer allerdings benachrichtigt.

Zugriffsrechte "Standort"

  • Ungefährer Standort (netzwerkbasiert)
  • Genauer Standort (GPS- und netzwerkbasiert)

Torsten Grote: Das wird benötigt, damit man anderen Nutzern die eigene Position über WhatsApp schicken kann.

Zugriffsrechte "Ihre Nachrichten"

  • SMS empfangen
  • SMS senden

Torsten Grote: Das Empfangen wird benötigt, damit WhatsApp selbst die Telefonnummer verifizieren kann und man sich nicht mit einer Telefonnummer anmeldet, die einem nicht gehört. Allerdings führt das auch dazu, dass jede empfangene SMS von Android an WhatsApp weitergereicht wird und so WhatsApp zumindest theoretisch alle SMS mitlesen kann. Warum WhatsApp auch SMS senden möchte ist mir nicht klar und konnte ich auch durch viel ausprobieren in der App nicht rausfinden.

Was unter "Netzkommunikation" bis "Speicher" zu verstehen ist

Zugriffsrechte "Netzkommunikation"

  • WLAN-Verbindungen abrufen
  • Netzwerkverbindungen abrufen
  • Daten aus dem Internet abrufen
  • Zugriff auf alle Netzwerke
  • WLAN-Verbindungen herstellen und trennen

Torsten Grote: Daten über das Internet empfangen und senden ist klar notwendig. Aber bei den WLAN Berechtigungen ist unklar, wieso WhatsApp das WLAN ein und ausschalten darf und wieso es die verfügbaren WLAN Netze sehen darf. An das Password für das WLAN kommt die App nicht ran.

Zugriffsrechte "Personenbezogene Daten"

  • Kontaktkarten lesen
  • Telefonanrufe
  • Telefonnummern direkt anrufen
  • Telefonstatus und Identität abrufen

Torsten Grote: Die Kontakte benutzt WhatsApp auch als "Service", damit man die nicht noch mal in der App selbst hinzufügen muss, sondern sie einfach da sind, sofern jemand im Adressbuch schon WhatsApp benutzt. Anscheinend kann man direkt aus WhatsApp heraus Kontakte anrufen. Das könnte man auch ohne die Berechtigung tun, ist aber vermutlich auch als Service-Funktion gedacht.

Zugriffsrechte "Speicher"

  • USB-Speicherinhalte ändern oder löschen
  • System-Tools
  • Zugriff auf geschützten Speicher testen
  • Verknüpfungen installieren
  • Verknüpfungen deinstallieren
  • Systemeinstellungen ändern

Torsten Grote: Mit Verknüpfungen installieren, legt sich WhatsApp selbst auf dem Homescreen ab. WhatsApp greift auch auf die IMEI Nummer des Telefons zu (mit der die Identität jedes Handys feststellbar ist; Red.), um die App fest mit dem Telefon zu verbinden. Bei USB-Speicherinhalten handelt es sich vermutlich um das Backup, das man so auch stehlen kann. Auf der US-Website forum.xda-developers.com, die zentrale Anlaufstelle für Smartphone Tüftler, sieht man schön, wie ein "Hacker" dann die Daten präsentiert bekommt. Warum es die Systemeinstellungen ändern will, konnte ich nicht rausfinden. Es wäre interessant zu wissen, welche Einstellungen geändert werden. Das hat aber anscheinend noch niemand untersucht.

Der "Kamera"-Zugriff von WhatsApp ist die "perfekte Wanze"

Zugriffsrechte "Informationen zu Ihren Apps"

  • Aktive Apps abrufen
  • Beim Start ausführen

Torsten Grote: Beim Start ausführen ist notwendig, damit man Nachrichten nicht erst bekommt, wenn man die App zufällig startet. So läuft sie immer im Hintergrund mit. Wie Twitter will auch WhatsApp Informationen zu aktuellen oder kürzlich ausgeführten Anwendungen abrufen. Die Informationen werden "unter Umständen" auf den WhatsApp-Servern gespeichert, zusammen mit anderen Daten zum Nutzungsverhalten. Warum WhatsApp das wissen muss ist mir unklar. Es würde ganz sicher auch ohne die Berechtigung funktionieren.

Zugriffsrechte "Kamera"

  • Bilder und Videos aufnehmen
  • Mikrofon
  • Audio aufnehmen

Torsten Grote: Notwendig um Sprachnotizen und Bilder direkt aus WhatsApp heraus zu senden. Ermöglicht der App aber auch heimlich Bilder zu machen oder Ton mitzuschneiden. Es ist somit die perfekte Wanze.

Zugriffsrechte "Ihre Sozialen Informationen"

  • Kontakte lesen
  • Kontakte ändern

Torsten Grote: Gleicher Anwendungsfall wie oben bei den Kontakten. Das Ändern geschieht vermutlich, damit WhatsApp einen Hinweis auf sich selbst in die Kontakte schreiben kann, sofern diese WhatsApp benutzen.

Zugriffsrechte "Auswirkungen auf den Akku"

  • Ruhezustand deaktivieren
  • Vibrationsalarm steuern

Torsten Grote: Vibrationsalarm wird zur Benachrichtigung bei neuen Nachrichten gebraucht. Das mit Ruhezustand ist mir nicht klar, brauchen aber andere ähnliche Apps auch.

Zugriffsrechte "Synchronisierungseinstellungen"

  • Synchronisierungsstatistiken lesen
  • Synchronisierung aktivieren oder deaktivieren
  • Synchronisierungseinstellungen lesen

Torsten Grote: Das gehört zu den Konten ganz oben und ist notwendig.

Wer einzelne Zugriffsrechte filtern will, kann sich in den App-Stores auch Hilfs-Programme besorgen. Aus Sicht von Torsten Grote sei die Installation aber anspruchsvoll. Oft stürzt Android dann beim Nutzen ab. Wer ganz auf 'Nummer Sicher' gehen möchte, findet unter dem Namen Cynanogen Mod eine Android-Alternative, die von der "Free Software Foundation" empfohlen wird, bei der sich Grote engagiert.

Der Solinger Web-Entwickler Daniel Schneller ist skeptisch gegenüber "Wächter-Apps", wie etwa dem "Privacy Adivsor" eines US-Softwareunternehmens: "Mir fällt dabei das Sprichwort ein, 'Den Bock zum Gärtner machen", sagt Schneller: "Denn selbstverständlich ist dem Anbieter daran gelegen, ein Bedrohungsszenario aufzubauen, vor dem sein eigenes Produkt passgenau schützen kann".