WhatsApp-Chats sind nämlich Ende-zu-Ende-verschlüsselt. Das bedeutet: Weder Meta noch die hauseigene KI können private Nachrichten mitlesen, auch nicht in Gruppen. Zumindest nicht von alleine. Daran ändert auch die KI-Funktion Meta AI nichts, die seit 2025 nach und nach in den Messenger eingebaut wurde.
Irgendwie hat niemand in der Presse verstanden, was End-to-End heißt. Das heißt nämlich: wer eines oder beide Enden kontrolliert, kontrolliert damit die Inhalte der Übertragung. Und wem gehört WhatsApp nochmal?
Natürlich kann Meta da rein technisch gesehen mitlesen, einfach, indem es auf dem Endgerät verschlüsselte Daten abschnorchelt für seine Slopmaschine und ich verwette mein metafreies Endgerät, dass das der Fall ist.
Und dann? Um die Daten zu nutzen, müssen sie immer noch unverschlüsselt vom Endgerät auf die Meta-Server landen. Und das könnte man mit einem packet sniffer nachweisen. Würde auch das ganze Prinzip zuwider laufen und hätte sicher schon längst jemand herausgefunden.
Es könnte auch einfach der private Schlüssel an Meta gesendet werden. Danach sieht der Traffic gleich aus, aber auf den Servern von Meta wird dann nicht mit zero knowledge weitergeleitet, sondern auch entschlüsselt.
Plus mit eigenem Meta Key können die Nachrichten nach lokalem entschlüsseln wieder verschlüsselt an Meta gesendet werden, dann siehst du auch kein Klartext in den packets
Das gibt doch keinen Sinn. Mal ganz abgesehen davon, dass das technisch nicht funktioniert: Warum sollte Meta das tun? Das ist ein Milliarden-schweres Haftungsrisiko.
Warum soll das technisch nicht funktionieren? Hat man den privaten Teil des Schlüssels, hat man den Zugriff auf die Nachrichten. Es gibt noch weitere Möglichkeiten, z.B. könnte der vermeintlich private Key kompromittiert sein, indem beispielsweise das verwendete seed Meta bekannt ist. Ich weiß nicht, wieso ein Trust me bro einer mehrfach mit illegalen Tätigkeiten aufgefallenen Firma so viel mehr wiegt als jede andere Annahme.
Um deine Frage zu beantworten Meta verdient Geld indem Leute Werbung auf ihren Plattformen kaufen.
Wenn ich adspace da kaufe und wenige Leute drauf klicken bin ich nicht bereit mehr Geld zu zahlen oder lass es ganz.
Hier kommt Meta ins Spiel und baut sich aus den ganzen Daten ihrer Nutzer Profile um dann gezielt die “richtigen” Ads zu zeigen damit wir drauf klicken.
Höherer Klickthrough, höhere Preise die ich abfragen kann und mehr Nachfrage an ads, ergo mehr Geld.
Hätte ich jetzt als meta Zugriff auf alle privaten Nachrichten aller Personen auf WhatsApp inklusive der zum anmelden notwendigen Telefonnummer und für die meisten auch den Google account für die Backups kann ich das prima in mein bestehendes Profil einbauen und noch effizienter werden.
Bei dem Namen hätte ich nen General Effort zur Recherche erwartet ^^
Warum sollte Meta das tun? Das ist ein Milliarden-schweres Haftungsrisiko.
Technisch kenne ich mich nicht aus, aber warum sie das tun sollten? Nunja, wenn ich mit diesen Daten zuvor dutzende Milliarden verdient habe, juckt mich auch eine MÖGLICHE 2 Milliarden Strafe (die irgendwann - wenn überhaupt - nach Jahrzehnten fällig wäre) auch nicht. Gibt es ja nicht nur ein Beispiel von, wo Konzerne wissentlich gegen Gesetze verstoßen haben, weil sie sich dadurch einen Vorteil verschafft haben und dann einfach hoffen das es nicht raus kommt oder die Strafe einfach mit einkalkulieren. Dieselgate hust
Ach Dieselgate. Da denke ich auch immer dran, wenn es darum geht, wie böse die Ami-Konzerne sind und wie toll unsere Aufsichtsbehörden.
Aber was sollte Meta denn mit den Daten anfangen, dass es das Risiko wert macht? Im Darknet verticken?
Du fragst was Meta mit persönlichen Daten anfangen möchte? Du weißt schon, dass das im Prinzip ihr ganzes Geschäftskonzept ist, persönliche Daten zu sammeln?
Und Dieselgate war ein Beispiel dafür wie Konzerne sich allgemein verhalten. Das macht in dem Punkt echt kein Unterschied ob der Konzern aus den USA oder Deutschland kommt. Auch US-Konzerne haben schon genügend Strafen in den USA oder Europa oder Deutschland zahlen müssen, weil die - wissentlich - gegen irgendwelches Recht verstoßen haben.
Du fragst was Meta mit persönlichen Daten anfangen möchte? Du weißt schon, dass das im Prinzip ihr ganzes Geschäftskonzept ist, persönliche Daten zu sammeln?
Und wie verdienen die damit Geld?
Dieselgate war ungewöhnlich heftig.
So trivial ist die Verschlüsselung nicht. WhatsApp benutzt (zumindest auf Papier) die Signal-Verschlüsselung und dort gibt es einen keyseed, der, ich glaube, sogar für jede Nachricht einen neuen key generiert.
Außerdem würde auch das auffallen. Als User kenne ich ja meinen private key. Wenn ich auch nur einmal sehe, sei es in einem Testlabor, wie irgendeine App einen private key von meinem Handy ins Netzwerk schickt, würde ganz einfach die Firma jegliche Glaubwürdigkeit verspielen.
Es stimmt natürlich, dass Meta letztendlich ein walled garden ist und manche Spekulationen, dass sie irgendeine backdoor drin haben, sind nicht auszuschließen. Vor den Slopomaten ging man aber ohnehin davon aus, dass Metadaten weitaus interessanter sind als Textdaten und die waren ohnehin nie verschlüsselt.
Die feinen Details des Signal Protokolls kenne ich auch nicht. Der Punkt ist aber das der Nutzer alle Daten zum entschlüsseln haben muss und damit die App auch. Ohne Quellcode Einsicht weiß man nicht ob das Protokoll überhaupt richtig implemtiert ist, oder was mit meinen geheimen Keys passiert / den entschlüsselten Daten.
Falls ich einen private Key senden wollen würde ohne das jemand das mitkriegt würde ich natürlich den key verschlüsselt wegschicken.
Ich kann nicht beweisen das WhatsApp backdoors hat oder Daten absaugt, es ist halt nicht überprüfbar (soweit ich das sehe) und damit ein Trust me bro.
Selbst bei Signal bin ich mit den trusted execution environments skeptisch, da kommen wir dann zum Verlagern von Vertrauen zu Hardware Herstellern. Wo ich es auch nicht unplausibel finde das der schlüssel irgendwo rumschwirrt.
Deswegen ja Metadaten sind ein großes Thema und genau deshalb ist eine überprüfbare Implementierung vom Signal Protokoll und der Software die auf den Servern läuft so wichtig, beides bei WhatsApp schwierig.
Was Tech-Konzerne alles angeblich “nicht machen”, “nicht können” oder “nicht dürfen”, sich dann aber Jahre später heraus stellt, dass sie es doch gemacht und gekonnt haben.
Jap, ich finde das auch ziemlich blauäugig:
WhatsApp-Chats sind nämlich Ende-zu-Ende-verschlüsselt. Das bedeutet: Weder Meta noch die hauseigene KI können private Nachrichten mitlesen, auch nicht in Gruppen.
Bei nicht-quelloffener Software kann ich erstmal überhaupt nichts überprüfen. Und bei einem Konzern wie Meta hätte ich mir eine Einordnung gewünscht, dass man es eben nicht mit Sicherheit sagen kann, der Konzern einen schlechten Track-Record hat und man zumindest vorsichtig sein sollte. Aber naja, wenn Meta das sagt, wird es bestimmt stimmen…
Sehe ich auch so… wenn die ihren Quellcode offen legen, dann reden wir weiter.
Weniger hilfreich wäre aber ein Umzug auf iMessage […] – dort gibt es gar keine Ende-zu-Ende-Verschlüsselung.
Ähmm, doch?
Bevor ich mir ÖR-Berichte zu Digitalthemen gebe, lege ich mittlerweile alle spitzen und scharfen Gegenstände außer Reichweite. Ist besser so. 🙈
