Whats­App ist über­all unsi­cher — auch auf dem Black­Ber­ry Z10 mit Black­Ber­ry Balan­ce

Whats­App ist die schlimms­te App in der Mobi­li­ty, weil sie die Kon­tak­te des Anwen­ders kom­plett auf ame­ri­ka­ni­sche Ser­ver lädt und die Nut­zung nur so zuläßt — wenn man dies nicht zulässt, funk­tio­niert die App auf man­chen mobi­len Betriebs­sys­te­men nicht mehr. Wir haben hier­zu im Blog oft geschrie­ben, bei­spiels­wei­se im Bei­trag Whats­App — Für Fir­men unsi­cher mit inak­zep­ta­blen Nut­zungs­be­din­gun­gen.

Aktu­ell wird viel dar­über spe­ku­liert, ob Face­book oder Goog­le Whats­App über­neh­men, Details im Bei­trag Goog­le will Whats­App. Der per­ma­nen­te Hin­weis auf die Grenz­wer­tig­keit von Whats­App ist gera­de des­halb wich­ti­ger als jemals zuvor, denn Whats­App wür­de in den Hän­den der Daten­kra­ken Goog­le oder Face­book ein noch bedroh­li­che­res Poten­ti­al dar­stel­len.

Vor die­sem Hin­ter­grund set­zen vie­le Anwen­der für eine siche­re Anwen­dung von Whats­App auf das Sicher­heits­kon­zept hin­ter dem neu­en Black­Ber­ry Z10 — in Zusam­men­hang mit Whats­App erfolgt dies lei­der unbe­grün­det und zu unrecht. Denn die häu­fig die­se Annah­me begrün­den­de Tech­no­lo­gie Black­Ber­ry Balan­ce wird nicht auto­ma­tisch mit dem Black­Ber­ry Z10 oder ande­ren neu­en Black­Ber­ry 10-Gerä­ten aus­ge­lie­fert, son­dern nur in Ver­bin­dung mit dem Black­Ber­ry Device Ser­vice bereit­ge­stellt, nähe­re Infor­ma­tio­nen zum BDS fin­den Sie im Bei­trag Black­Berry Balan­ce — Die rich­tige Ant­wort auf Bring Your Own Device (BYOD)?

Ein Black­Ber­ry Z10 ohne das mit dem Black­Ber­ry Device Ser­vice bereit­ge­stell­te Black­Ber­ry Balan­ce ver­fügt nicht über die zwei Berei­che ‘Per­sön­lich’ und ‘Geschäft­lich’. Inso­fern geht die oft geäu­ßer­te Annah­me, dass auf einem der neu­en Black­Ber­ry 10-Gerä­te die­se Funk­tio­na­li­tät per se vor­han­den ist, ins Lee­re. Und auch die Tren­nung mit Black­Ber­ry Balan­ce geht — wenn der Anwen­der mit den Vor­ein­stel­lun­gen arbei­tet — ins Lee­re. Ten­den­zi­ell ist Whats­App auf den neu­en Black­Ber­ry-Gerä­ten sogar noch viel bedenk­li­cher als auf allen ande­ren Gerä­ten.

War­um ist das so?

Das Bild im Bei­trag zeigt die Grün­de. Whats­App wird vor­ein­ge­stellt mit vol­len Berech­ti­gun­gen instal­liert und die­se sind auf einem Black­Ber­ry 10-Gerät viel gra­nu­la­rer als auf allen ande­ren Platt­for­men (was gut ist) und viel weit­ge­hen­der (was im Fal­le von Whats­App defi­ni­tiv schlecht ist). So erhält die App auf einem Black­Ber­ry 10-Gerät fol­gen­de weit­rei­chen­den Zugriffs­rech­te:

  • Stand­ort
  • Kon­tak­te
  • Email- und PIN-Nach­rich­ten!!!
  • Frei­ge­ge­be­ne Datei­en!!!
  • Text­nach­rich­ten
  • Gerä­tei­den­ti­fi­zie­rung

Als ich dies das ers­te Mal sah war ich nur eins — ent­setzt. Denn man darf davon aus­ge­hen, dass nahe­zu 100 % der Anwen­der die Anwen­dung zunächst mit vol­len Rech­ten instal­lie­ren. Im Gegen­satz zur Umset­zung auf ande­ren mobi­len Betriebs­sys­te­men wur­de bei der Black­Ber­ry-Inte­gra­ti­on sogar auf die Bestä­ti­gungs-SMS mit dem Ident­code bei der Akti­vie­rung ver­zich­tet, tol­ler ‘Kom­fort’. Logi­scher­wei­se braucht man dies nicht, wenn Black­Ber­ry der App initi­al die tota­le Kon­trol­le über das Gerät und damit auch die unzwei­fel­haf­te Iden­ti­fi­ka­ti­on erlaubt. Dies passt in gar kei­ner Wei­se zum vom Black­Ber­ry ange­streb­ten Sicher­heits-Image. Ein bes­se­res Spio­na­ge­tool kön­nen sich die ame­ri­ka­ni­schen Behör­den im Dunst­kreis der NSA gar nicht wün­schen!

Denn Whats­App fackelt nicht lan­ge, was wir auf einem Black­Ber­ry Z10 getes­tet haben. 6600 Kon­takt­da­ten­sät­ze wur­den in weni­ger als einer Minu­te auf die ame­ri­ka­ni­schen Ser­ver von Whats­App über­tra­gen, der Abgleich mit den schon bei Whats­App regis­trier­ten Anwen­dern war nach wei­te­ren 30 Sekun­den erle­digt und nach ins­ge­samt 4 Minu­ten waren auch alle Bil­der der Kon­tak­te vom Whats­App-Ser­ver gela­den! Da wird eine wirk­lich sehr per­for­man­te Infra­struk­tur betrie­ben, ein Schelm wer dabei Böses denkt …

Wer nun glaubt, dass man auf einem Black­Ber­ry 10-Gerät durch das Ver­bot des Zugriffs auf die Kon­tak­te in den App-Ein­stel­lun­gen Whats­App bän­di­gen kann, irrt. Im Gegen­satz zu iOS, wo sich Whats­App nach dem Ent­zug der Berech­ti­gung hier­über beschwert und den Dienst ver­wei­gert, führt ein Ver­bot auf einem Black­Ber­ry Z10-Gerät nicht zu einem ver­gleich­ba­ren Ver­hal­ten. Ein­mal in Whats­App bedeu­tet der­zeit immer in Whats­App, was im Kern ja auch ehr­lich ist, denn man kann sei­ne Daten ja nicht von den Whats­App-Ser­vern löschen las­sen.

Die Anwen­dung von Black­Ber­ry-Balan­ce wiegt den Anwen­der aber lei­der in einer noch trü­ge­ri­sche­ren Sicher­heit, da sug­ge­riert wird, dass die geschäft­li­chen Daten sau­ber von den pri­va­ten Daten getrennt sind. Genau dies ist in der vor­ein­ge­stell­ten Default Poli­cy lei­der nicht der Fall, wie wir im Bei­trag Black­Berry Device Ser­vice — Emp­feh­lung für eine siche­re Default Poli­cy beschrie­ben haben. Denn der Wert ‘Per­so­nal Apps Access to Work Con­tac­ts’ ist statt mit dem rich­ti­gen Wert ‘None’ mit ‘All’ vor­be­legt. Tau­sen­de von Anwen­dern wer­den in die­se Fal­le tap­pen — obwohl sie sich sicher ver­hal­ten wol­len.

Denn die — an und für sich rich­ti­ge — Vor­ein­stel­lung ‘None’ des Wer­tes ‘Per­so­nal Apps Access to Work Con­tac­ts’ führt zu einem ganz ande­ren Rat­ten­schwanz von Pro­ble­men. Anwen­der sind die Inte­gra­ti­on Ihres Adress­bu­ches in Whats­App gewohnt — ohne die­se Inte­gra­ti­on ver­liert Whats­App sehr viel von sei­nem ‘Charme’. Aber es gibt ein weit­aus grö­ße­res Pro­blem. Wenn man den Zugriff der per­sön­li­chen Apps auf die Kon­tak­te ver­bie­tet, funk­tio­niert vie­les nicht mehr wie eigent­lich erwar­tet, da Black­Ber­ry die Tren­nung zwi­schen ‘Per­sön­lich’ und ‘Geschäft­lich’ am Ende doch nicht voll­stän­dig und kon­se­quent vor­neh­men konn­te, da man bei­spiels­wei­se nicht zwei Tele­fo­ne in das Gerät inte­grie­ren kann oder will. Inso­fern sind vie­le Kom­po­nen­ten nur ein­ma­lig im pri­va­ten Bereich ange­sie­delt, was dann bei der Anwen­dung der siche­ren Ein­stel­lung für ‘Per­so­nal Apps Access to Work Con­tac­ts’ dazu führt, dass nur noch Num­mern und nicht mehr Anru­fer­na­men von Anru­fern ange­zeigt wer­den.

Dies ist logisch, wenn man das Funk­ti­ons­prin­zip ver­stan­den hat, führt aber bei Anwen­dern zu feh­len­der Akzep­tanz, da das Gerät aus ihrer Sicht als unkom­for­ta­bel oder gar unbe­nutz­bar bewer­tet wird. Die­ser Kon­flikt ist nicht auf­lös­bar, da Black­Ber­ry — aus ver­ständ­li­chen Grün­den — nicht zwei Tele­fo­ne im OS inte­grie­ren konn­te bzw. woll­te und daher auf die­se Kom­pro­mis­se ange­wie­sen ist. Wir wer­den die­sen Aspekt in einem wei­te­ren Bei­trag sepa­rat bespre­chen.

Für den Anwen­der bedeu­tet dies, dass Black­Ber­ry Balan­ce gera­de nicht die ver­spro­che­ne prak­ti­ka­ble Tren­nung von ‘Per­sön­lich’ und ‘Geschäft­lich’ bie­tet. Gebo­ten wird eine ver­meint­li­che Lösung, die gera­de das Tren­nungs­the­ma genau­so­we­nig voll­stän­dig adres­siert wie alle ande­ren Kon­zep­te. Der Unter­schied zu iOS ist — trotz der tech­nisch völ­lig ver­schie­de­nen Ent­wür­fe — im Kern der kon­kre­ten Anwen­dung nicht vor­han­den. Sicher­heits­ori­en­tier­tes mobi­les Gerä­tema­nage­ment muss nach wie vor restrik­tiv erfol­gen und mit akti­vem White­lis­ting auf Basis von App-Bewer­tun­gen durch­ge­führt wer­den. Inso­fern hat Black­Ber­ry mit den Black­Ber­ry 10-Gerä­ten zwar die Gerä­te mit dem der­zeit tech­no­lo­gisch bes­ten OS am Start. Black­Ber­ry Balan­ce lie­fert aber nur äußerst begrenzt, was es ver­spricht, vie­le Fea­tures, die bei Andro­id und iOS ver­füg­bar sind, feh­len der­zeit noch wie bei­spiels­wei­se der Kiosk-Mode.

Wenn Sie ande­re Fra­gen zur Black­Ber­ry-Lösung oder zu mobi­len The­men haben, fra­gen Sie uns bit­te. Wir bera­ten eine gro­ße Zahl von Unter­neh­men und Orga­ni­sa­tio­nen rund um die Mobi­li­ty und zukünf­tig gern auch Sie. Wenn Sie mei­nen, dass die­ser Bei­trag auch für Ihre Freun­de und Bekann­ten inter­es­sant ist, emp­feh­len Sie ihn bit­te auf Twit­ter, Goog­le oder Face­book wei­ter. Wir bedan­ken uns dafür schon jetzt ein­mal.


Ande­re inter­es­san­te Bei­trä­ge:
MDM Essen­ti­als — Mobi­le Device Manage­ment ohne Sup­port geht nicht!
Manch ein Leser wird die Über­schrift die­ses Arti­kels für eine Bin­se hal­ten. Das ist sie aber nicht, ganz im Gegen­teil! Wir waren frü­her immer wie­der erstaunt, wenn Anwen­der einer unse­rer Test­stel­lun­gen begeis­tert waren, wie wir in die Bedie­nung ein­füh­ren und Sup­port geben. Am letz­ten Frei­tag sag­te e…
Mobi­le Device Manage­ment (MDM) und Bring Your Own Device (BYOD) mit Betriebs­rat und Per­so­nal­rat — Kein Pro­blem
Ein The­ma, wel­ches in vie­len Bera­tun­gen und Vor­füh­run­gen von den Ent­schei­dern immer wie­der ange­spro­chen wird, ist das ver­mu­te­te Span­nungs­feld zwi­schen MDM-Ein­füh­rung und Betriebs­rat. Oft wer­den hier Pro­ble­me gese­hen, manch­mal regel­recht erfun­den, die ich so nicht nach­voll­zie­hen kann. Im Gegen­teil. I…
MDM Essen­ti­als — Kann man bei Mobi­le Device Manage­ment zwi­schen Hos­ting und Inhouse-Nut­zung wech­seln?
Die­se Fra­ge wird mir in den letz­ten Wochen teil­wei­se mehr­fach pro Woche gestellt, so auch hier in den USA, wo ich mich gera­de auf­hal­te. Dies ist eine typi­sche ‘Radio-Eri­wan-Fra­ge’. Denn die Ant­wort lau­tet: Im Prin­zip Ja. Nur kön­nen es die meis­ten Lösun­gen und Anbie­ter nicht. Denn die Auf­ga­be eines …
datomo Mobi­le Device Manage­ment (MDM) 3.12 — Neu­es Major Release bringt die eige­ne CA ins Sys­tem
Anwen­der von datomo Mobi­le Device Manage­ment wis­sen seit lan­gem: datomo MDM läuft nicht dem Markt hin­ter­her — datomo MDM defi­niert stän­dig neue Stan­dards. Der NSA-Skan­dal hat zwei­er­lei deut­lich gemacht. Ers­tens kann nun­mehr wirk­lich jeder wis­sen, dass ame­ri­ka­ni­sche Hard- und Soft­ware, die Ver­schlüss…
Mobi­le Device Manage­ment (MDM) — Richt­li­ni­en und Poli­ci­es — Video
Heu­te prä­sen­tie­ren wir Ihnen einen wei­te­ren Vor­trag als Video, den unser MDM Exper­te Klaus Düll wäh­rend der CeBIT 2016 zum The­ma MDM gehal­ten hat. Mobi­le Device Manage­ment (MDM) ohne Richt­li­ni­en und Poli­ci­es ist nicht mög­lich. Für Anwen­der ist es aber oft nahe­zu unmög­lich alle Inhal­te und The­men z…

4 Kommentare

Schreibe einen Kommentar»
  1. […] Whats­App — Für Fir­men unsi­cher mit inak­zep­ta­blen Nut­zungs­be­din­gun­gen und Whats­App ist über­all unsi­cher — auch auf dem Black­Berry Z10 mit Black­Berry Balan­ce. Wir hal­ten Whats­App mitt­ler­weile für ein kri­mi­nel­les Tool für geziel­ten […]

  2. Wenn jemand Whats­App instal­liert, sei­ne eige­ne Tele­fon­num­mer angibt und man sein gan­zes Tele­fon­buch frei­ge­ben muss (da man ja sonst mit nie­man­den schrei­ben kann, denn Tele­fon­buch = ID) und dann noch ver­wun­dert ist, dass die­se Metho­de unsi­cher ist — dann ver­ste­he ich das auch nicht.

    Selbst mit der bes­ten Ver­schlüs­se­lung der Welt wür­de das nichts ändern.

  3. Schlech­te Apps kön­nen selbst durch ein super Smart­pho­ne nicht sicher gemacht wer­den, wenn dadurch „Löcher” auf­ge­bro­chen wer­den. Lie­ber BBM ver­wen­den, damit ist man auf der siche­ren Sei­te! 🙂
    Da kann Black­Ber­ry gar nichts machen, wenn Whats­App die Rech­te zum ordent­li­chen Funk­tio­nie­ren benö­tigt. Da bohrt Whats­App Löcher in ein gutes Sys­tem. Whats­App kann man somit als Schad­soft­ware abstem­peln.

  4. Zum grö­ßen Teil Rich­tig aber wenn das Sys­tem ein­mal und hof­fent­lich schon Anfang an rich­tig ein­ge­stellt ist, wer­den die Geschäfts­kon­tak­te geschützt. Ich ver­ste­he den Ver­merk „dass nur noch Num­mern und nicht mehr Anru­fer­na­men von Anru­fern ange­zeigt wer­den.” nicht. Ich wer­de schlie­ße nicht mit Whats­App, Face­book oder irgend­ei­ner ande­ren App ver­trau­en das die­se Kor­rekt mit mei­nen Daten umgeht. Von daher ist es kor­rekt das kei­ne der Apps an Ruf­num­mer oder Name kommt. Die Ruf­num­mer soll dann natür­lich auch nicht manu­ell in die­se App ein­ge­ge­ben wer­den wo sich die­se Kon­stel­la­ti­on erge­ben wür­de.

    Gene­rell sind alle Apps als unsi­cher in die­sem Zusam­men­hang ein­zu­stu­fen. (Nicht nur aus Spio­na­ge Grün­den auch Daten­schutz) Das Vor­ge­hen von Black­ber­ry ist kor­rekt. Natür­lich sieht es aus Sicht des Anwen­ders „wie­der mal nach einer Schi­ka­ne des Admi­nis­tra­tors” aus, wie­so darf ich das Gerät nicht so ver­wen­den… .
    Aber wer garan­tiert mir das mei­ne App nicht gegen gül­ti­ges Daten­schutz Recht, Fir­men­vor­ga­ben, Rich­ti­li­ni­en ver­sto­ßen. Bei der Regu­lä­rer Work­sta­tion im Fir­men­netz kann der Admi­nis­tra­tor auch mit even­tu­ell gro­ßem Auf­wand nach­voll­zie­hen wel­che Daten Netz­werk­tech­nisch über das Inter­net aus­ge­tauscht wer­den und kann dies even­tu­ell regu­lie­ren und kon­trol­lie­ren.

    Ich fin­de es außer­dem extrem erschre­ckend das Cloud Spei­cher Apps im Busi­ness Bereich stan­dard­mä­ßig akti­viert sind, auch die­se müs­sen manu­ell abge­schal­tet wer­den 🙁

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.