Den mobilen Messenger Whatsapp, der schon für viele Nutzer als SMS-Ersatz fungiert, gibt es sowohl für iOS-Geräte sowie auch Android-Betriebssysteme. Nun kam heraus, dass Apple die Gesprächsverläufe in Whatsapp im Klartext im hauseigenen Cloud-Dienst unverschlüsselt abspeichert.
Seit einiger Zeit steht den Whatsapp-Usern eine Backup-Funktion zur Verfügung, welche die Gesprächsverläufe dauerhaft sichert. Diese werden im Falle der iPhone-App auf Apples iCloud gespeichert. Das problematische daran ist allerdings, dass die Daten im Klartext und völlig unverschlüsselt in der Datenwolke abgelegt werden. Das bedeutet, dass jeder, der einen Zugang zu einem fremden Apple-Account hat, sei es über legale oder illegale Wege, die Gesprächs-Sicherungen lesen kann.
Die Daten sind eigentlich dazu da, dass bei einer eventuellen Neuinstallation von Whatsapp keine Daten verloren gehen und die alten Einstellungen direkt wieder in das Programm integriert werden. Die Sicherheitsexperten von Heise Online konnten aber recht einfach über einen kostenlosen Entwicklerzugang die Daten in der Cloud abrufen. Unter den Daten befanden sich eine „ChatStorage.sqlite“ eine „Media.tar“ und eine „Thumbnail.tar“. In den .tar-Dateien befinden sich Bilder. Im Media-Ordner die Bilder, die sich die Gesprächspartner hin und her gesendet haben und im Thumbnail-Ordner die Profilbilder. Bei der ChatStorage.sqlite handelt es sich um eine SQLite-Datenbank die den Gesprächsverlauf samt Datum, Uhrzeit und Telefonnummern im Klartext beinhaltet.
Auf Android-Geräten werden diese Daten lediglich lokal auf dem Telefon gespeichert. Bei Apple muss man die Backup-Funktion als User zwar explizit aktivieren, bevor diese Daten in die Cloud gehen und es wird auch darauf hingewiesen, dass die Daten in die Cloud gehen, aber von den sicherheitstechnischen Mängeln diese Speicherungsmethode wird nichts gesagt. An dieser Stelle sollte mindestens ein Passwort, zum Beispiel das Whatsapp-Passwort abgefragt werden, bevor diese Daten freigegeben werden. In der derzeitigen Konfiguration muss vor der Nutzung dieses Dienstes aus sicherheitstechnischen Gründen gewarnt werden.