WhatsApp: Gelöscht ist nicht gelöscht

Datenschutz

Trotz Ende-zu-Ende-Verschlüsselung ist der beliebte Messenger nicht sicher. Richtig löschen will gelernt sein – auf allen IT-Systemen mit vertraulichen Daten

Der Sicherheitsforscher Jonathan Zdziarski deckte letzte Woche auf, dass sich in WhatsApp gelöschte Chat-Protokolle, trotz neu eingeführter Ende-zu-Ende-Verschlüsselung, wieder zu kompletten Unterhaltungen rekonstruieren lassen. Wer also Zugriff auf das Smartphone oder eine unverschlüsselte Datensicherung hat, kann daher grundsätzlich die verborgenen Unterhaltungen wiederaufleben lassen.

Wie bereits vom einfachen Löschen einer Festplatte bekannt, werden die Dateien auch hier nicht automatisch überschrieben, sondern lediglich in der WhatsApp-Datenbank (SQLite) als gelöscht markiert. Diese werden dann erst bei „nächster Gelegenheit“, z. B. Speicherplatzmangel, überschrieben. Werden große Mengen von Nachrichten gleichzeitig gelöscht, etwa vor einer Weitergabe oder der Veräußerung des Telefons, verursacht dies großflächige leere Datenblöcke in der Datenbank.

Nicht auf Knopfdruck, aber wiederherstellbar

Die zurückbleibenden forensischen Artefakte lassen sich wieder zu kompletten Chat-Protokollen zusammensetzen. Dies gilt grundsätzlich auch für andere Apps, z. B. Apples iMessage. Der geneigte Leser fragt sich bereits jetzt: Wo ist das Problem, sind nicht alle Daten auf dem iPhone „by default“ verschlüsselt? So einfach ist es nicht. Zunächst einmal haben wir nämlich die Datensicherungsdateien, also gespiegelte Versionen des gesamten iPhones. Diese erscheinen je nach Einstellung in der iCloud und auf einem etwaigen Desktop. Lassen sich diese für die Variante Desktop noch optional verschlüsseln, so besteht hingegen keine Möglichkeit dazu bei iCloud Backups.

Die (für viele wohl unbefriedigende) Lösung wäre iCloud komplett abzuschalten. Aber selbst dann ist es möglich, etwa im Falle eines schwachen Passwortes, dass das Backup entschlüsselt wird. Ein Grund mehr sowohl für Privatpersonen als auch Unternehmen im Falle einer Weitergabe oder des Verkaufs mobiler Endgeräte auf die vollständige Löschung privater Informationen zu achten und insbesondere keine dienstlichen oder personenbezogenen Daten via WhatsApp zu übermitteln.

Auch andere Systeme betroffen

Die Redaktion des Heise-Magazins c't hatte bereits im Juni testweise alte Festplatten und Computer über eBay aufgekauft und die so erlangten Daten wiederhergestellt. Es fanden sich Geschäftsgeheimnisse, ein wenig versöhnliches Testament und Nacktfotos der Verkäufer. Eine Wiederherstellung ist freilich auch im Falle von Smartphones und Business-Druckern bzw. Kopierern mit eigener Festplatte möglich.

Benutzen Sie daher spezielle Löschprogramme für Festplatten, welche ihre Daten mehrfach überschreiben. Bei Smartphones kann die „händische“ komplette Überschreibung durch Auffüllung des Speichers solche Datenangriffe zumindest erschweren. Unser Tipp: Nehmen Sie ein Video auf, bis der Telefonspeicher voll ist. Aber achten Sie darauf, dass auch dieses keine persönlichen Informationen, sowohl Audio als auch Video, enthält (z. B. im Keller die Wand filmen). Ob dann tatsächlich alles überschrieben ist, lässt sich nicht ganz zweifelsfrei sagen. Das Speichermanagement von Smartphones ist teils sehr komplex, so dass Videos beispielsweise nicht in Systembereichen des Geräts abgelegt werden, wo üblicherweise die Datenbanken liegen.

Quellen:

 

Zurück