Blogartikel zur Weitergabe: (M)Ein Leben ohne WhatsApp

Hallo,

einigen habe ich den Link schon per E-Mail geschickt, ich denke aber, unter uns tummeln sich noch deutlich mehr WhatsApp-Gegner oder zumindest Leute, die WhatsApp kritisch sehen.

Ich hoffe, das sieht jetzt keiner als Werbung an, aber ich habe zum Thema einen Blogbeitrag auf meiner Webseite geschrieben und diesen unter cc-Lizenz gestellt:
https://www.crazy-to-bike.de/more/media-blog/447-m-ein-leben-ohne-whatsapp-weshalb-wir-alle-darauf-verzichten-sollten.html

Ihr dürft, wenn ihr mal wieder in eurem Umfeld auf die Risiken und Nebenwirkungen von WhatsApp hinweisen wollt, gerne den Link weitergeben - oder euren eigenen Senf auf Grundlage von meinem Geschwafel schreiben

Viele Grüße
Steffen

Sehr guter Artikel, danke.
Ein Link zum Urteil des Amtsgerichts Bad Hersfeld waere noch gut, das ist naemlich sehr interessant.
https://www.online-und-recht.de/urteile/Kontroll-und-Ueberwachungspflichten-der-Eltern-bei-WhatsApp-Nutzung-durch-eigene-Kinder-Amtsgericht-Hersfeld-20170320/

Hallo,

das habe ich gestern Nacht angeschaut: 70 Minuten kritisch über Facebook.

https://www.ardmediathek.de/tv/Reportage-Dokumentation/Facebook-außer-Kontrolle/Das-Erste/Video?bcastId=799280&documentId=57285142

LG

Holger

Hallo irrlicht,

danke für das Feedback und den Link. Ich hatte da wohl einen c&p Fehler,
denn eigentlich wollte ich zu dem Urteil eine Quelle verlinken - statt
dessen war ein Linkf auf die WhatsApp AGB gesetzt.

Ich habe deinen Link eingearbeitet.

Viele Grüße
Steffen

Hallo Holger,

ich nehme an, dass ich deinen “Tipp” mit einbauen darf

Viele Grüße
Steffen

Die Nummern werden einwegverschlüsselt in Form so genannter Hash-Werte an die Server von Signal übertragen und danach wieder gelöscht.

Auch wenn das fuer Einsteiger in die Kryptografie logisch klingen mag, wuerde ich den Begriff “einwegverschlüsselt” hier eher nicht verwenden, Hashen ist nicht Verschluesseln, denn beim Verschluesseln geht man immer davon aus, dass man das Chiffrat mit dem entsprechenden Schluessel wieder zum Klartext machen kann, das geht beim Hashen grundsaetzlich nicht.

Man nehme die Bibel als Eingabedatensatz und hasht das mit SHA-256, erhalten wir einen Wert der Laenge 256 Bit, entspricht 32 Byte.
Kaemen wir zurueck zur Bibel, waere das der wohl der leistungsfaehigster Kompressionsalgorithmus auf dem Markt.

Hallo irrlicht,

Auch wenn das fuer Einsteiger in die Kryptografie logisch klingen mag,
wuerde ich den Begriff “einwegverschlüsselt” hier eher nicht verwenden,
Hashen ist nicht Verschluesseln, denn beim Verschluesseln geht man immer
davon aus, dass man das Chiffrat mit dem entsprechenden Schluessel
wieder zum Klartext machen kann, das geht beim Hashen grundsaetzlich nicht.

deswegen einwegverschlüsselt und nicht verschlüsselt. Es muss halt - wie
du selbst schreibst auch für den Laien - deutlich werden, dass die Daten
nicht wie bei WhatsApp im Klartext übertragen werden.

Wie man das für solche Leute verständlich macht, ohne das (jedem
verständliche) Wort verschlüsseln zu benutzen - hab grad keine Ahnung.

Wenn du also einen besseren Vorschlag als einwegverschlüsselt hast…
lass hören.

Viele Grüße
Steffen

Schreib doch, dass von den Nummern lediglich ein Fingerabdruck in Form sogenannter Hash-Werte erstellt wird, das ist fachlich richtig und aus meiner Sicht verstaendlich.

In Wirklichkeit ist das gar nicht so einfach. Das Problem hierbei ist, dass der SHA-256-Hash der Telefonnummer eigentlich nicht so ganz sicher ist, denn der moeglichen Eingabewerte sind mehr als begrenzt, Telefonnummern halt. Die hasht man einmal duch, wenn nicht gesalzen schreibt man die in eine Datenbank und koennte damit (nach Zugriff auf die Signalserver) locker die Telefonnummer zurueckholen.
Moxie Marlinspike hat sich letztes Jahr zu diesem Problem geaeussert und sie arbeiten an der Loesung:

Man soll die Dinge so einfach machen wie möglich - aber nicht einfacher. (Einstein)

Sach mal… Nur 'ne Überlegung und 'ne Frage am Ende…

Wenn nun dieses Kind (A) einen Freund (B) hat dessen Eltern sich nicht einig werden können ob ihr Kind bei WhatsApp’s Datensammelleidenschaft erfasst werden darf oder nicht, dann wird:
a) das Kind (A) nicht WhatsApp installieren (und damit sozial benachteiligt, und ausgegrenzt) und
b) das Kind (B) von vorn herein komplett aus digitalen Kommunikationsmedien und -Gruppen ausgeschlossen (ohne das es sich dagegen überhaupt wehren kann). Hintergrund: Das Kind (A) und die Freunde von Kind (A) die bei WhatsApp sind dürften weder die Nummer noch den Namen von Kind (B) in ihr Telefonbuch aufnehmen ohne zuvor die Erlaubnis von den jeweiligen Eltern eingeholt zu haben da ja alles von WhatsApp gesammelt wird. Kind (B) wäre also der Gruppen-Arsch.

Das kann zu sozialen Problemen und Streit in Familien führen nur weil ein Konzern nicht Willens ist zu Unterscheiden welche Menschen man im Telefonbuch teilen will und welche eben nicht. Dieser Streit wird auch noch von WhatsApp registriert weil es passieren kann daß erst ein Kind im Adressbuch auftaucht und dann wieder gelöscht wird (das passiert dann bei allen in der Gruppe des Kindes (A). Hurra, wir haben die Daten von allen Eltern, die das Registriert werden doch gar nicht wollen? Die Daten hat WhatsApp also immer! Das Kind (B?) und seine Eltern sind die Gea… Kind (A) bekommt bei richtig netten Eltern (Bs?) dann auch noch Besuch vom Abmahnanwalt…

Ich finde da hätte das Familiengericht erkennen müssen dass es sich hierbei nicht um ein privates Problem handelt sondern um ein sozial gesamtgesellschaftliches und die AGBs von WhatsApp in Teilen für rechtswidrig erklären müssen, weil WhatsApp den sozialen Frieden stört und die Freiheit von Schutzbefohlenen einschränkt, die doch seines besonderen Schutzes bedürfen, weil WhatsApp schließlich ein Produkt für Minderjährige heraus bringt. Wenn Legosteine das verursachen würden, was WhatsApp verursacht, würden sie in Kinderzimmern nicht mehr herumliegen…

Dabei wäre es für WhatsApp technisch gesehen ein leichtes nur bestimmte Personen im Adressbruch zu erfassen und andere eben nicht. Und das Kind wäre technisch nicht überfordert das zu steuern (im Unterschied zu seinen Eltern). SMS oder Threema kann das ja auch ;)… Somit würde einer sozialen Ausgrenzung von Andersdenkenden entgegen gewirkt und die persönliche Freiheit und Entfaltung des Einzelnen (Kind A, und Kind B) gewährleistet. Folge einer solchen Auffassung könnte dann sein: Das die Kosten des Verfahrens (in Teilen, zu 60%-70%) der Verursacher -nämlich WhatsApp- tragen müsste. Damit wären auch alle Forderungen und Abmahngebühren (im gleichen Prozentsatz) die in Zukunft entstehen bei WhatsApp einzufordern. Ich bin mir sicher; innerhalb von ca. 10 Arbeitsstunden des Programmierers und einer Aufsichtsratssitzung hätten wir eine Lösung für das Problem.

Ich weiß ja nicht ob das deutsche Recht so was her gibt aber für mich Spricht nichts dagegen deutsches Recht so auszulegen oder doch ??? War einfach der Richter nicht mutig genug, zu fantasielos oder technisch zu unbedarft? War ihm nicht klar daß WhatsApp durchaus in der Lage wäre das umzusetzen aber das einfach der Wille dazu fehlt? Und das dadurch der soziale Friede gestört, Schutzbefohlene ausbeutet und dem entstehen von Familienkonflikten Vorschub leistet wird? Oder war der Anwalt der Mutter zu Billig ;). In der Vergangenheit wurden schon häufiger AGB’s von großen Firmen als rechtswidrig anerkannt. Wenn WhatsApp ein Produkt aus China wäre wäre dann das Urteil dann anders ausgefallen? Aber so ist das wohl nur Ausbeutung aus dem eigenen Kulturkreis…

Na ja, mir ist schon klar warum das nicht gemacht wird. Mir geht es auch mehr darum: Bin ich hier verkehrt oder sind es unsere Richter? …

Hallo bhoernchen,

[…]
Ich finde da hätte das Familiengericht erkennen müssen dass es sich
hierbei nicht um ein privates Problem handelt sondern um ein sozial
gesamtgesellschaftliches und die AGBs von WhatsApp in Teilen für
rechtswidrig erklären müssen, weil WhatsApp den sozialen Frieden stört
und die Freiheit von Schutzbefohlenen einschränkt, die doch seines
besonderen Schutzes bedürfen, weil WhatsApp schließlich ein Produkt für
Minderjährige heraus bringt. Wenn Legosteine das verursachen würden, was
WhatsApp verursacht, würden sie in Kinderzimmern nicht mehr herumliegen…

nun, WhatsApp ist ab 16, das Kind in dem Fall (und wohl sicher auch das
Kind der klagenden Eltern waren 10,5 Jahre. WhatsApp hätte gar nicht
installiert werden dürfen.

Dass das aber ein gesamtgesellschaftliches Problem ist und man politisch
und juristisch Konzernen wie Facebook einen Riegel vorschieben müsste,
steht außer Frage.

Dabei wäre es für WhatsApp technisch gesehen ein leichtes nur bestimmte
Personen im Adressbruch zu erfassen und andere eben nicht.

Technisch vielleicht ja, aber ist konzernphilosophisch ja nicht gewollt. Man will ja so viele Daten von so vielen Leuten wie möglich sammeln, um sie zu analsyieren, verknüpfen und Kapital daraus zu schlagen.

Wobei ich mir nicht 100% sicher bin, ob es bei Andoid - mit Apple kenne
ich mich nicht aus - möglich wäre, den Zugriff einer App auf nur
ausgewählte Kontakte des Adressbuchs zu beschränken. In den
Appberechtigungen geht zumindest bis Android 7 nur Zugriff freigeben
oder sperren, und ich kenne keine App, die das in sich nochmal
differenziert.

SMS oder Threema kann das ja auch ;)…

Na ja, das muss man schon differenzierter betrachten.
Bei SMS wird halt nur passiv auf das Adressbuch zugegriffen, wenn man
eine SMS schreibt und die Empfänger auswählt. Theoretisch hat die
Anwendung aber trotzdem Zugriff auf’s gesamte Adressbuch - mit dem
Unterschied, dass da nix an einen Anbieter hochgeladen wird um zu
prüfen, ob die Kontakte auch SMS nutzen. Das kann man also keinesfalls
mit einem Messenger vergleichen, das funktioniert eher wie E-Mail.

Und Threema geht halt wie auch z.B. Hoccer einen ganz anderen Weg:
Hier wird der Account nicht mit der Telefonnummer verknüpft, sondern
eine anonyme ID erzeugt. Somit ist man für den Anbieter erst mal nur
eine Nummer. Das ist im Prinzip der Königsweg, mit dem Haken, dass es
nicht ganz so out of the box funktioniert, mit anderen darüber in
Kontakt zu treten, weil man in der App eben nicht erkennen kann, wer es
auch nutzt.
Man muss also die IDs austauschen, was unbedarfte User vor eine Hürde
und Herausforderung stellt, die per se erst mal abschreckt - auch, weil
das Hintergrundwissen und Verständnis fehlt (“Warum ist denn das so
kompliziert, WhatsApp ist viel einfacher” - ergo: “Threema taugt nichts”).
Und dann kostet das ja sogar noch halsabschneiderische 3 Euro.

Man kann daher bei Threema den Account mit der Telefonnummer verknüpfen
und den Zugriff auf das Adressbuch gewähren, dann bekommt man auch
angezeigt, wenn jemand aus den eigenen Adressbuchkontakten Threema
benutzt - aber nur, wenn der auch z.B. seine Telefonnummer verknüpft hat.

Auch hier wird in dem Fall das ganze Adressbuch gescannt und an Threema
übertragen, aber im Gegensatz zu WhatsApp eben nicht im Klartext,
sondern als Hashwerte, die zudem nach dem Abgleich auf den
Threema-Servern wieder gelöscht werden - so zumindest deren Versprechen.

Ich bin mir sicher; innerhalb von ca. 10
Arbeitsstunden des Programmierers und einer Aufsichtsratssitzung hätten
wir eine Lösung für das Problem.

Ganz so optimistisch bin ich da nicht.

Na ja, mir ist schon klar warum das nicht gemacht wird. Mir geht es auch
mehr darum: Bin ich hier verkehrt oder sind es unsere Richter? …

Ich denke nicht, dass das so einfach ist - auch nicht für deutsche
Gerichte - Konzerne wie Facebook haben große eigene Rechtsabteilungen,
die den ganzen Tag und das ganze Jahr nichts anderes machen, als im
Sinne des Konzerns juristisch tätig zu sein - und das sind keine
Hinterhofanwälte aus der Kreisliga

Ich denke, ein lokales Verwaltungsgericht kann da nicht mehr erreichen,
das müsste das Bundesverwaltungsgericht, besser eine europäische Instanz
in Angriff nehmen.

Inwieweit das überhaupt politisch gewollt wäre, ist eine andere Frage…

Daher: Das wirksamste Mittel wäre massenhafter Boykott, Löschung der
Accounts mit Aufforderung zur vollständigen Datenlöschung, denn damit
entzieht man dem Konzern die Geschäftsgrundlage, zwingt ihn also zu
reagieren.

Politisch-juristische Wege hingegen sind langwierig und die Konzerne
bewegen sich nur in kleinsten Schritten und nur so weit, wie unbedingt
nötig.

Viele Grüße
Steffen

Boykott waere nett, halte ich aber fuer nicht realisierbar, das muessen schon die Gerichte klaeren und es wuerde schonmal reichen, wenn die Telefonnummern nicht mehr bei WhatsApp landen duerften sondern diese gehasht bzw. mit etwas Kryptomagie entpersonalisiert.

Somit waeren die Telefonnummern bzw. die Identitaeten erstmal weg und man wuerde trotzdem in seiner Kontaktliste sehen, wer per WhatsApp erreichbar ist - was aus meiner Sicht grundsaetzlich ok ist, da ich ja entscheiden kann, ob ich mich darauf einlasse oder nicht.

Die von WhatsApp angekuendigte Werbung war vorhersehbar, WhatsApp war bisher eine Geldvernichtungsmaschine, die irgendwann mal Geld abwerfen muss und diese Werbung wird wohl lediglich im Statusmenue erscheinen und gerade dieses haben vermutlich viele noch niemals aufgerufen.
Der Einstieg in die Werbung bei WhatsApp ist demnach bewusst sehr fein dosiert und wird so nicht dazu fuehren, dass Heerscharen von WhatsApp auf andere Messenger wechseln werden.

Ich persoenlich nutze WhatsApp, Telegramm und Signal. Threema nutze ich nicht, da ich keine Lust habe, dafuer zu zahlen bzw. weil ich dauernd meine Smartphones kaputtmache und somit dauernd am Wechseln bin - da muss es schnell gehen.

Boykott waere nett, halte ich aber fuer nicht realisierbar, das muessen schon die Gerichte klaeren und es wuerde schonmal reichen, wenn die Telefonnummern nicht mehr bei WhatsApp landen duerften sondern diese gehasht bzw. mit etwas Kryptomagie entpersonalisiert.

Somit waeren die Telefonnummern bzw. die Identitaeten erstmal weg und man wuerde trotzdem in seiner Kontaktliste sehen, wer per WhatsApp erreichbar ist - was aus meiner Sicht grundsaetzlich ok ist, da ich ja entscheiden kann, ob ich mich darauf einlasse oder nicht.

Die von WhatsApp angekuendigte Werbung war vorhersehbar, WhatsApp war bisher eine Geldvernichtungsmaschine, die irgendwann mal Geld abwerfen muss und diese Werbung wird wohl lediglich im Statusmenue erscheinen und gerade dieses haben vermutlich viele noch niemals aufgerufen.
Der Einstieg in die Werbung bei WhatsApp ist demnach bewusst sehr fein dosiert und wird so nicht dazu fuehren, dass Heerscharen von WhatsApp auf andere Messenger wechseln werden.

Ich persoenlich nutze WhatsApp, Telegramm und Signal. Threema nutze ich nicht, da ich keine Lust habe, dafuer zu zahlen bzw. weil ich dauernd meine Smartphones kaputtmache und somit dauernd am Wechseln bin - da muss es schnell gehen.

Da man davon ausgehen muss, dass die meisten User eher unbedarft sind, duerfte die Loesung die Telefonnummer als Identifikationsmerkmal zu nutzen dann doch die Einfachste sein und wenn ein einziger mit einem dicken Telefonbuch, dieses an Threema preisgibt, haben wir sowieso den Salat. Demnach waere es besser, diesen Weg maximal abzusichern bzw. mit Kryptomagie ala Moxie Marlinspike diese Telefonnummern zu entpersonalisieren - damit waere jedem geholfen. In dem Moment indem Signal/Threema/Werauchimmer anbietet Telefonnummern zu nutzen, wird das auch jemand nutzen - mit Recht.

Signal nutzt SHA256 zum Hashen, Salzen geht hier leider nicht, demnach lassen sich hierfuer problemlos und sehr effizient Rainbowtables erstellen.
Ich hab’s aber mal mit Gewalt gemacht.

1. erstelle einen SHA256-Hash einer Telefonnummer
   echo -n 015112345678 | sha256sum > kontak1.sha

2. in der Datei kontakt1.sha mit dem Editor das Leerzeichen und den “-” hinter dem Hash loeschen, stoert beim Cracken mit hashcat
   45bdf69a94a2802bee6119c6f2ce3169f3ae874cae3e7a103e1bb8725ac0433f -
   wird zu
   45bdf69a94a2802bee6119c6f2ce3169f3ae874cae3e7a103e1bb8725ac0433f

3. Mit hashcat und etwas Parametermagie den Hash “zurueckrechnen”, brute force, hab etwas beschissen, die “015” hab ich vorgegeben.
   (–force, weil diese Gurke hier die Grafikkarte nicht nutzen kann)

hashcat -m 1400 -a 3 kontak1.sha 015?d?d?d?d?d?d?d?d?d --force

Ergebnis:

45bdf69a94a2802bee6119c6f2ce3169f3ae874cae3e7a103e1bb8725ac0433f:015112345678                                                     
Session..........: hashcat
Status...........: Cracked
Hash.Type........: SHA-256
Hash.Target......: 45bdf69a94a2802bee6119c6f2ce3169f3ae874cae3e7a103e1...c0433f
Time.Started.....: Sun Nov  4 15:13:22 2018 (12 secs)
Time.Estimated...: Sun Nov  4 15:13:34 2018 (0 secs)
Guess.Mask.......: 015?d?d?d?d?d?d?d?d?d [12]
Guess.Queue......: 1/1 (100.00%)
Speed.Dev.#1.....:  3255.8 kH/s (5.73ms) @ Accel:512 Loops:10 Thr:1 Vec:8
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 40017920/1000000000 (4.00%)
Rejected.........: 0/40017920 (0.00%)
Restore.Point....: 3999744/100000000 (4.00%)
Candidates.#1....: 015598573800 -> 015929569923
HWMon.Dev.#1.....: N/A

Started: Sun Nov  4 15:13:19 2018
Stopped: Sun Nov  4 15:13:35 2018

Das hier ist Dampftechnik, auf den Signalservern mit Rainbowtables geht das in Echtzeit ueber Suchbaeume, es waere also fuer die Serverbetrieber ein Leichtes, die Telefonnummern “zurueckzuholen”.

Hallo irrlicht,

Boykott waere nett, halte ich aber fuer nicht realisierbar

das sehe ich auch so, wäre aber trotzdem effektiver als Verbote

, das muessen
schon die Gerichte klaeren und es wuerde schonmal reichen, wenn die
Telefonnummern nicht mehr bei WhatsApp landen duerften sondern diese
gehasht bzw. mit etwas Kryptomagie entpersonalisiert.

Somit waeren die Telefonnummern bzw. die Identitaeten erstmal weg und
man wuerde trotzdem in seiner Kontaktliste sehen, wer per WhatsApp
erreichbar ist - was aus meiner Sicht grundsaetzlich ok ist, da ich ja
entscheiden kann, ob ich mich darauf einlasse oder nicht.

Ja, so macht das ja z.B. Signal. Das kann man auch nicht wirklich
nutzen, wenn man den Zugriff auf’s Adressbuch nicht freigibt, aber die
Daten werden gehasht übertragen und nach dem Abgleich auch nicht auf den
Servern behalten.

Die von WhatsApp angekuendigte Werbung war vorhersehbar, WhatsApp war
bisher eine Geldvernichtungsmaschine, die irgendwann mal Geld abwerfen

Ja, und auch schon mehrfach angekündigt.

muss und diese Werbung wird wohl lediglich im Statusmenue erscheinen und
gerade dieses haben vermutlich viele noch niemals aufgerufen.
Der Einstieg in die Werbung bei WhatsApp ist demnach bewusst sehr fein
dosiert und wird so nicht dazu fuehren, dass Heerscharen von WhatsApp
auf andere Messenger wechseln werden.

Nein, zumal es mehr als genug Leute gibt, die sich damit ohnehin einfach
abfinden werden, dass sie Werbung angezeigt bekommen.
Aber wie du schon schreibst: Es ist der Einstieg in die Werbung. Wenn
WhatsApp merkt, dass kaum jemand die Werbung anschaut, wird sie früher
oder später aufdringlicher.

Ich persoenlich nutze WhatsApp, Telegramm und Signal.

Ich nutze kein WhatsApp, und dass du das nutzt, wundert mich jetzt
schon, wo du doch auch hier so viel Wert auf völlige Anonymität legst

Dafür nutze ich alle in meinem Blogartikel genannten Alternativen:
Hoccer, Signal, Telegram, Threema, Wickr Me und Wire.

Threema nutze ich
nicht, da ich keine Lust habe, dafuer zu zahlen

Halsabschneiderische einmalige 3 Euro. Geiz ist geil hat offensichtlich
noch immer Hochkonjunktur

bzw. weil ich dauernd
meine Smartphones kaputtmache und somit dauernd am Wechseln bin - da
muss es schnell gehen.

Backup der Threema-ID außerhalb des Smartphones speichern, dann dauert
das kaum länger als bei WhatsApp die Ersteinrichtung mit Nummerneingabe
etc. zu durchlaufen

Viele Grüße
Steffen

Absolut ist das ja nicht, das saehe anders aus.

Man schaetzt bei allem was man tut die Risiken ab und ich bevorzuge es auch die ganzen Marketingmaschinen auszunutzen anstatt diese zu verteufeln, das ist ein vom Grundsatz her anderer Ansatz, der passt auch besser zu mir.

Ja was soll man dazu schreiben? Bisher seh ich keine wirklichen Vorteile bei Threema und da ich grundsaetzlich fuer Software kein Geld ausgebe, werde ich das zunaechst auch hier nicht tun - von mir aus auch “Geiz ist geil”, wenn Dir das gefaellt.

Ich mache so gut wie keine Backups von privaten Dingen, habe auch hier einen anderen Ansatz. Wenn alles weg ist, fang ich von vorne an - ausser bei den Bildern von meinen Kindern.

Ich wechsel auch die Mobilfunknummer wenn die SImkarte kaputt ist, Mailadressen hab ich bestimmt 20 aktive und mindestens nochmal soviele tote. Das ist mein Ansatz - ich werfe Identitaeten weg, ich gebe ihnen nur begrenzt Macht ueber mich.

Edith: in der SImkartenschachtel hier zaehle ich 8 Stueck und das ist nur die Spitze des Eisbergs

Hallo irrlicht,

das bestreitet ja niemand

Kommt auf die Art der Verhashung an, die da genutzt wird. Außerdem werden nicht mal die verhashten Daten auf den Servern abgelegt, wohingegen WhatsApp sie im Klatext dauerhaft dort speichert - selbst wenn jemanf WhatsApp löscht, bleiben die da.
Aber prinzipiell sollte zumindest mal sensibilisiert werden, dass man Daten anderer Personen nicht einfach so weiter gibt. Wenn das in der Grundeinstellung wie bei WhatsApp automatisiert passiert und auch noch im Klartext, ist das einfach deutlich schlechter

Ja, da sind wir ja völlig einer Meinung, aber ich bleibe dabei, dass es nicht automatisiert passieren sollte und man, um den ungefragten Zugriff auf’s Adressbuch zu verhindern, es erst mal in den Smartphone-Einstellungen verbieten muss, ehe man die App das erste Mal startet. Es sollte sogar ein Bestätigungsfenster geben (gesetzlich vorgeschrieben) in der Art:
“Sie wollen personenbezogene Daten anderer Personen an uns weitergeben. Dies ist nur mit audrücklicher Zustimmung aller in Ihrem Adressbuch gespeicherten Kontakte zulässig. Bitte bestätigen Sie, dass Sie von allen Kontakten diese Zustimmung eingeholt haben”

Willst du jetzt sagen, dass SHA256 grundsätzlich unsicher ist, oder dass Signal das unsicher implementiert hat?
Wie auch immer: Besser als gleich im Klartext und mit dem Versprechen, die Daten auch auszuschlachten
Außerdem werden die Hashes nicht dauerhaft auf den Servern gespeichert,

Das ist jedem selbst überlassen und deine freie Entscheidung, aber deshalb auch nichts, was man dann Threema anlasten kann.

Das ist sicher ein Ansatz, der es erschwert, ein durchgängiges Profil von einem zu erstellen. Auch ich habe schon mehrfach Telefonnummern gewechselt und verwende zweckbezogene Mailadressen, die weggeworfen werden, wenn sie nicht mehr benötigt werden. Ich mache mir aber keine Illusionen, dass das die Zuordnung zu einer Person und die Profilerstellung nur erschwert, aber nicht verhindert.

Viele Grüße
Steffen

finde ich einen der interessantesten punkte…
whatsapp hebt altersgrenze im mai, vergangenes Jahr gabs das urteil…
und nu?
nix
…aber auch gar nix
selbst der Anwalt unten findet eher, dass die altersgrenze zum schutz von whatsapp dient als zum schutz oder zum verbot von Kindern bei WA

ich für meinen teil sehe da das verbraucherschutz-ministerium extrem unter zugzwang, wir, die wir gute messenger verwenden können nichts tun, und die die die bösen messenger verwenden wollen nichts tun

…dein Artikel finde ich super!

LG alex
(leider gerade mehr und mehr aus dem off, da ich ein wenig eingespannter bin, als noch vor einem jahr absehbar)

SHA256 ist schon soweit sicher, zumindest sind keine Luecken dokumentiert, aber die hier notwendige Implementierung ist das Problem.

Die Hashes kann man nicht mit Salt versehen, da hier ja nicht ein Eingabewert gehasht wird und dieser dann mit einem existierenden Hash verglichn wird, das laesst sich problemlos “salzen”, sondern hier werden Hashes verglichen, da kann man nicht mit Salt ran.

Wenn keine Salts vorhanden sind, dann kann man Hashs vorberechnen und in einer dicken Datenbank ablegen, dann sind wir bei den Rainbowtables.
Mit Suchbaeumen laess sicht diese sehr schnell durchsuchen und die Zuordnung zurueck zum Eingabewert wird vereinfacht, vor allem bei der geringen Anzahl von moeglichen Eingabewerten. Mobilfunknummern haben um die 12 Nummern, macht 10¹² Moeglichkeiten, nimmt man die erste 0 noch als gesetzt bleiben 10¹¹, fuer Menschen viel, fuer Rechner Kindergarten und fuer Grafikkarten ein Problem, weches in ein paar Sekunden geloest ist - hier braucht es eigentlich gar keine vorberechneten Tabellen, bei grossen Mengen an Hashes, die gecrackt werden sollen duerfen Tabellen allerdings einen ordentlichen Performanceschub bringen.

Ein anderes Problem bzgl. “die Hashes werden gleich auf dem Server geloescht” duerfte sein, dass wenn Strafermittler (NSLs lassen gruessen) Zugriff auf die Server bekommen, durch Aktionen auf dem Server das Neusenden eben dieser Hashes angeworfen werden kann, die Clients schicken den ganzen Scheiss dann nochmal zurueck. Bei Signal kann man den Quellcode des Serverdienstes herunterladen, da koennte man schauen, ob bzw. wie man das Neusenden anwerfen koennte/muesste, bei Threema und Telegram gibt es soweit ich weiss keinen Quellcode vom Server, ich geh aber davon aus, dass dies bei allen moeglich ist.

https://www.handelsblatt.com/politik/deutschland/nach-hackerangriff-bundesdatenschuetzer-warnt-vor-whatsapp/23859222.html?ticket=ST-627275-ghtjAiQPHuc3JXbTptcL-ap5

Gruß

Alois

Schöne Analyse zu Whatsapp, Danke!

Ich folge aber nicht dem Teil, in dem Alternativen betrachtet werden. Solange hinter der Realisierung eine Firma mit komerziellen Interessen steht, ist der Unterschied zu Whatsapp ja lediglich, dass sie keine Monopolstellung haben und das ist ja ein erheblicher Nachteil, dass meine Freunde dann nicht mit mir chatten können.

Ich denke, es gibt zwei wichtige Aspekte, die eine brauchbare Alternative ausmachen:

• Offene Spezifikation und offene Implementierung
• Möglichkeit, den Server selbst zu betreiben

das ist irgendwie auch garnicht so abwegig wie viele tun sondern völlig normal. Email funktioniert so, das Web auch und nahezu alle wichtigen Funktionen im Internet sind auf diese Weise offen und nutzbar (auch wenn heute einige Menschen schon Facebook für das ganze Internet halten (und vor ein paar Jahren Google)).

Ich weiss nur von zwei Konzepten, die diese Kriterien erfüllen:

• XMPP / Jabber
• Matrix

(apropos: Whatsapp hat mit XMPP angefangen…)

Hallo,

Schöne Analyse zu Whatsapp, Danke!

gerne

Ich folge aber nicht dem Teil, in dem Alternativen betrachtet werden.
Solange hinter der Realisierung eine Firma mit komerziellen Interessen
steht, ist der Unterschied zu Whatsapp ja lediglich, dass sie keine
Monopolstellung haben und das ist ja ein erheblicher Nachteil, dass
meine Freunde dann nicht mit mir chatten können.

Jain. Whatsapp gehört halt zu Facebook und somit ist da die Verknüpfung
und Analyse deutlich schwerwiegender als bei der Konkurrenz.

Und natürlich können deine Freunde dann auch mit dir Chatten, es braucht
halt gebetsmühlenartige Überzeugungsarbeit. Bei mir ist ein Großteil der
mir wichtigen Kontakte inzwischen zweigleisig unterwegs und ich spreche
ohnehin multimessengisch

Ich denke, es gibt zwei wichtige Aspekte, die eine brauchbare
Alternative ausmachen:

• Offene Spezifikation und offene Implementierung
• Möglichkeit, den Server selbst zu betreiben

Keine Frage, das ist der Königsweg.

Ich weiss nur von zwei Konzepten, die diese Kriterien erfüllen:

• XMPP / Jabber
• Matrix

Daher ja auch mein Abschnitt zu XMPP

Viele Grüße
Steffen