WhatsApp Bullshit Detection
by Volker Weber
Ich lese immer wieder, WhatsApp übertrage das Adressbuch des Anwenders. WhatsApp sagt expressis verbis etwas anderes:
You expressly acknowledge and agree that in order to provide the Service, WhatsApp may periodically access your contact list and/or address book on your mobile device to find and keep track of mobile phone numbers of other users of the Service. When providing your mobile phone number, you must provide accurate and complete information. You hereby give your express consent to WhatsApp to access your contact list and/or address book for mobile phone numbers in order to provide and use the Service. We do not collect names, addresses or email addresses, just mobile phone numbers.
Da eine solche exakte Aussage für WhatsApp rechtlich bindend ist, glaube ich dem mehr als irgendwelchen Phantasien.
WhatsApp funktioniert mit mobilen Telefonnummern. Sie sind der identifizierende Schlüssel. Der Rest ist dem System vollkommen egal. Über die Telefonnummern findet WhatsApp die potentiellen Kommunikationspartner. Wer nicht im eigenen Adressbuch steht, wird bei eingehenden Nachrichten auch als potentieller Spammer markiert und WhatsApp bietet an, den zu sperren. Telefonnummern muss man übrigens nicht speichern. Es reicht aus, die Nummern zu hashen. Das braucht weniger Platz und kann schneller übertragen werden. Wer ein System für Milliarden von Teilnehmern baut, der denkt an sowas.
Comments
Und wie bei vielen Glaubenssystemen, interessieren sich die Gläubigen auch hier wahrscheinlich nicht für die Fakten. Was nicht heisst, dass man es nicht (unaufdringlich) versuchen kann.
"Mir ist aber so, als würde aber jedesmal mein Addressbuch..." ;)
Danke! Habe mich letzte Woche auch gerade durch dieses Dokument gewühlt. Die Sache mit den Hashwerten steht sogar explizit etwas weiter unten im Kapitel "Privacy Notice" am Ende des Punkts "User Provided Information":
"In order to provide the WhatsApp Service, WhatsApp will periodically access your address book or contact list on your mobile phone to locate the mobile phone numbers of other WhatsApp users (“in-network” numbers), or otherwise categorize other mobile phone numbers as “out-network” numbers, which are stored as one-way irreversibly hashed values."
Nein, man kann die Nummern eben bei diesen Größenverhältnissen eben nicht mehr hashen, weil sie dann kollidierten.
https://whispersystems.org/blog/contact-discovery/
Nein, man kann den Primärschlüsselschlüssel nicht hashen und als neuen Primärschlüssel verwenden. Aber man kann die Nummern, die noch nicht im Netzwerk sind hashen und dann eine Benachrichtigung erhalten, wenn der Hash bei einem neuen Teilnehmer passt. Und dann vergleicht man die neue Nummer mit der aus dem eigenen Adressbuch. Auf diese Weise hat man in seiner Buddylist nur die Nummern, die WhatsApp eh schon kennt und bekommt dazu eine Möglichkeit, effizient neue Teilnehmer zu entdecken, ohne dass WhatsApp die vollständige Nummernliste speichern muss.
Egal ob gehashed oder nicht, ohne Vereinbarung über Auftragsdatenverarbeitung nach Paragraph 11 BDSG ist eine Übertragung der Telefonnumern nicht zulässig.
Zu blöd nur, dass dem normalen Anwender das Thema Auftragsdatenverarbeitung nach Par. 11 BDSG völlig schnurz ist.
Warum blöd. Betrifft ihn doch auch gar nicht.
Armin, meine Rede... die Aufsichtsbehörden müssen mehr hohe Strafen verhängen.
Volker, sobald der normale Anwender WhatsApp auf seinem geschäftlichen genutzten Smartphone verwendet, betrifft ihn das. Nur wenn er zwei Smartphones hat, und er WhatsApp ausschliesslich auf dem privaten nutzt, betrifft ihn das nicht.
Du musst den Aufsichtsbehörden unbedingt mal von Android-Handys erzählen. Damit sie gegen halb Deutschland drakonische Strafen verhängen. Und dann abgeschafft werden.
Oh Mann. Was schreib ich nur? Es sterben Leute an schlimmen Krankheiten (oder gerade so nicht). So etwas ist immer ein guter Augenöffner. Möchte ich jetzt niemandem empfehlen, aber wer da durch ist, weiss, was ich meine.
Ich kenne den Komplex, die Anfänge, die (befürchteten) Auswirkungen gut.
Ja, Gesetze können wichtig sein (aber haben meist nichts mit Recht zu tun).
Augenmaß aber auch.