WhatsApp ist nicht gerade dafür bekannt, besonders sicher zu sein. Das wissen wir nicht erst seit gestern und das ist auch nichts, was den Durchschnittsnutzer überraschen würde. Doch auch nach den aufgedeckten Verschlüsselungsproblemen beim Messenger durch Thijs Alkemade und vielen weiteren Entwicklern respektive Hackern gibt es weiterhin schlechte Neuigkeiten für alle Fans der gepflegten Text-over-IP-Tipperei – zumindest dann, wenn sie sich eines Apple-Geräts bedienen: Auch das iCloud-Backup von WhatsApp ist nicht mehr als ein schlechter Witz.
„Immer gut sichern!“
„Backups müssen immer gut gesichert sein!“ Das ist das, was mein Informatik-Lehrer immer zu sagen pflegte. Er meinte damit das Backup des PCs oder Macs, das gemeinhin auf einer externen Festplatte gespeichert wird. Es sollte ausreichend geschützt und die Festplatte sicher verstaut sein.
Bei digitalen Backups verhält es sich ganz ähnlich. Schließlich enthält es Daten, die wir offenbar als sichernswert ansehen. Demnach wollten wir diese auch sicher ablegen. Die Apple-iCloud ist da schon gar kein so schlechter Anfang, wenngleich die Phishing-Attacken auf Apple-IDs seit Mai rapide zugenommen haben.
„Sichern Sie Ihren Chat-Verkauf auf iCloud“
Seit einiger Zeit erlaubt Apple auch Entwicklern, auf die iCloud zuzugreifen. Apps können also etwa über die iCloud kommunizieren und Daten synchronisieren. So findet man auf dem iPad den gleichen Spielstand vor, wie eben noch auf dem iPhone. Aber damit nicht genug: Entwickler dürfen die iCloud auch nutzen, um Backups darin abzulegen.
Diese Funktion nutzt WhatsApp seit ein paar Monaten. Unter Einstellungen -> Chat-Einstellungen -> Chat-Backup steht:
Sichern Sie Ihren Chat-Verlauf auf iCloud. Sie können den Chat-Verlauf wiederherstellen, falls Sie WhatsApp neu installieren. Ihre Medien-Dateien (außer Videos) werden auch gesichert.
Das macht WhatsApp dann entweder automatisch oder man erstellt es von Hand. Grundsätzlich keine schlechte Idee. Schließlich hängen manche Nutzer an Ihren Chats und den damit verbundenen Erinnerungen. Demnach kann man sich vorstellen, wie viele Nutzer tatsächlich eine Backup des Verlaufs erstellen und es in der iCloud ablegen.
Das ist zwar immer noch besser, als sich die Chat-Verläufe unverschlüsselt per E-Mail zuzuschicken (ja, auch das geht tatsächlich!). Einen dicken Haken gibt es trotzdem: WhatsApp, kein Witz, speichert das Backup im Klartext ab. Also so, wie das Textdokument, das man sich per E-Mail zuschicken kann.
Finger weg vom WhatsApp-Backup mit iCloud
Wie die Kollegen von heise berichten, findet sich im iCloud-Konto ein WhatsApp-Ordner, der unter anderem die Dateien ChatStorage.sqlite, Media.tar und Thumbnail.tar beinhaltet. Die letzten beiden Dateien sind für die Bilder verantwortlich, die .sqlite-Datei ist eine Datenbank, die die Chats speichert – inklusive Metadaten wie Telefonnummern, Datum und Co. – selbstverständlich ebenfalls im Klartext.
Bedeutet: Finger weg vom WhatsApp-Backup. Sollte sich ein Hacker Zugang zum Apple-Konto verschafft haben, liegen die privaten Chats blank im WhatsApp-Ordner. Etwas sicherer (aber ebenfalls nicht zu empfehlen) wäre, den Chat-Verlauf in einer verschlüsselten E-Mail (etwa per S/MIME) an sich selbst zu schicken und auf dem Rechner fachgerecht zu verschlüsseln und abzulegen. Ansonsten: Erinnerungen im Kopf abspeichern und für sich behalten.
