WhatsApp Bullshit Detection

by Volker Weber

Ich lese immer wieder, WhatsApp übertrage das Adressbuch des Anwenders. WhatsApp sagt expressis verbis etwas anderes:

You expressly acknowledge and agree that in order to provide the Service, WhatsApp may periodically access your contact list and/or address book on your mobile device to find and keep track of mobile phone numbers of other users of the Service. When providing your mobile phone number, you must provide accurate and complete information. You hereby give your express consent to WhatsApp to access your contact list and/or address book for mobile phone numbers in order to provide and use the Service. We do not collect names, addresses or email addresses, just mobile phone numbers.

Da eine solche exakte Aussage für WhatsApp rechtlich bindend ist, glaube ich dem mehr als irgendwelchen Phantasien.

WhatsApp funktioniert mit mobilen Telefonnummern. Sie sind der identifizierende Schlüssel. Der Rest ist dem System vollkommen egal. Über die Telefonnummern findet WhatsApp die potentiellen Kommunikationspartner. Wer nicht im eigenen Adressbuch steht, wird bei eingehenden Nachrichten auch als potentieller Spammer markiert und WhatsApp bietet an, den zu sperren. Telefonnummern muss man übrigens nicht speichern. Es reicht aus, die Nummern zu hashen. Das braucht weniger Platz und kann schneller übertragen werden. Wer ein System für Milliarden von Teilnehmern baut, der denkt an sowas.

Comments

Und wie bei vielen Glaubenssystemen, interessieren sich die Gläubigen auch hier wahrscheinlich nicht für die Fakten. Was nicht heisst, dass man es nicht (unaufdringlich) versuchen kann.

"Mir ist aber so, als würde aber jedesmal mein Addressbuch..." ;)

Hubert Stettner, 2016-04-11 11:47

Danke! Habe mich letzte Woche auch gerade durch dieses Dokument gewühlt. Die Sache mit den Hashwerten steht sogar explizit etwas weiter unten im Kapitel "Privacy Notice" am Ende des Punkts "User Provided Information":

"In order to provide the WhatsApp Service, WhatsApp will periodically access your address book or contact list on your mobile phone to locate the mobile phone numbers of other WhatsApp users (“in-network” numbers), or otherwise categorize other mobile phone numbers as “out-network” numbers, which are stored as one-way irreversibly hashed values."

Jörg Weske, 2016-04-11 17:21

Nein, man kann die Nummern eben bei diesen Größenverhältnissen eben nicht mehr hashen, weil sie dann kollidierten.

https://whispersystems.org/blog/contact-discovery/

Martin Weber, 2016-04-11 19:06

Nein, man kann den Primärschlüsselschlüssel nicht hashen und als neuen Primärschlüssel verwenden. Aber man kann die Nummern, die noch nicht im Netzwerk sind hashen und dann eine Benachrichtigung erhalten, wenn der Hash bei einem neuen Teilnehmer passt. Und dann vergleicht man die neue Nummer mit der aus dem eigenen Adressbuch. Auf diese Weise hat man in seiner Buddylist nur die Nummern, die WhatsApp eh schon kennt und bekommt dazu eine Möglichkeit, effizient neue Teilnehmer zu entdecken, ohne dass WhatsApp die vollständige Nummernliste speichern muss.

Volker Weber, 2016-04-12 15:06

Egal ob gehashed oder nicht, ohne Vereinbarung über Auftragsdatenverarbeitung nach Paragraph 11 BDSG ist eine Übertragung der Telefonnumern nicht zulässig.

Oliver Zecherl, 2016-05-01 18:24

Zu blöd nur, dass dem normalen Anwender das Thema Auftragsdatenverarbeitung nach Par. 11 BDSG völlig schnurz ist.

Armin Auth, 2016-05-01 19:27

Warum blöd. Betrifft ihn doch auch gar nicht.

Volker Weber , 2016-05-01 21:37

Armin, meine Rede... die Aufsichtsbehörden müssen mehr hohe Strafen verhängen.

Volker, sobald der normale Anwender WhatsApp auf seinem geschäftlichen genutzten Smartphone verwendet, betrifft ihn das. Nur wenn er zwei Smartphones hat, und er WhatsApp ausschliesslich auf dem privaten nutzt, betrifft ihn das nicht.

Oliver Zecherl, 2016-05-03 06:43

Du musst den Aufsichtsbehörden unbedingt mal von Android-Handys erzählen. Damit sie gegen halb Deutschland drakonische Strafen verhängen. Und dann abgeschafft werden.

Volker Weber, 2016-05-03 07:04

Oh Mann. Was schreib ich nur? Es sterben Leute an schlimmen Krankheiten (oder gerade so nicht). So etwas ist immer ein guter Augenöffner. Möchte ich jetzt niemandem empfehlen, aber wer da durch ist, weiss, was ich meine.

Ich kenne den Komplex, die Anfänge, die (befürchteten) Auswirkungen gut.
Ja, Gesetze können wichtig sein (aber haben meist nichts mit Recht zu tun).
Augenmaß aber auch.

Hubert Stettner, 2016-05-03 11:15

Recent comments

Florian Vogler on Microsoft Tech Summit: Ab in die Wolke at 16:05
Jochen Kattoll on BackBerry Motion :: Mein anderes Telefon at 15:43
Peter Meuser on Microsoft Tech Summit: Ab in die Wolke at 15:38
Stephan Perthes on One Thousand Move Goals at 12:46
Andreas Fischer on BackBerry Motion :: Mein anderes Telefon at 11:31
Volker Weber on Microsoft Tech Summit: Ab in die Wolke at 10:44
Roland Dressler on Microsoft Tech Summit: Ab in die Wolke at 10:22
Volker Weber on One Thousand Move Goals at 09:58
Peter Meuser on Microsoft Tech Summit: Ab in die Wolke at 09:41
Volker Weber on BackBerry Motion :: Mein anderes Telefon at 00:36
Daniel Kirstenpfad on One Thousand Move Goals at 19:47
Jochen Kattoll on BackBerry Motion :: Mein anderes Telefon at 18:48
Fotios Nisiropoulos on One Thousand Move Goals at 18:22
Detlev Poettgen on One Thousand Move Goals at 18:09
Florian Vogler on Microsoft Tech Summit: Ab in die Wolke at 16:27
Leo Wiggins III on One Thousand Move Goals at 14:55
Nick Coenen on Ferrari Evolution at 13:16
Andreas Fischer on Your favorite messenger at 08:58
Peter Meuser on Microsoft Tech Summit: Ab in die Wolke at 08:41
Volker Weber on Microsoft Tech Summit: Ab in die Wolke at 21:37
Florian Vogler on Microsoft Tech Summit: Ab in die Wolke at 20:35
Alan Lepofsky on Attending IBM think 2018 at 14:08
Andy Mell on Android Enterprise Recommended at 12:28
Martin Kautz on Om Malik :: The #1 reason Facebook won’t ever change at 11:27
Viktor Dexheimer on Ferrari Evolution at 05:18

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter

Local time is 20:59

visitors.gif