Ich wurde auf die aktuellen Texte von WhatsApp zu Metas Umgang mit Kontakten von Nicht-WhatsApp-Usern hingewiesen. So, wie ich das verstehe, entspricht der Umgang von Meta mit den Kontakten inzwischen weitestgehend dem von Signal.
Kann das sein oder was übersehe ich?
Laut Meta werden von den Kontakten allein die Nummern übertragen, aber keine Namen, E-Mail-Adressen oder sonstige weiteren Infos aus den Kontakteinträgen.
Laut Meta werden die Nummern, wenn sie nicht auf einen bestehenden WhatsApp-User verweisen, unmittelbar in einen Hashwert gewandelt und als Nummer gelöscht.
Den Hashwert behält Meta, damit es die WhatsApp-User informieren kann, sobald der bisherige Nicht-User ebenfalls zu einem geworden ist.
Ansonsten verarbeitet Meta (nach eigener Aussage) die Daten der Nicht-User in den Kontakten der WhatsApp-User in keiner Weise.
Was den Umgang mit den Kontakten der Nicht-User angeht, dürfte das doch komplett dem Signal-Prozess entsprechen, oder?
Würde aber folgendes beachten:
WhatsApp ist NICHT Open Source - und ob man Closed Source ausreichend dekompilieren kann um aus dem Quellcode das unabhängig zu überprüfen weiß ich nicht.
Und es gibt auch keine „reproducible builds“?
Vielleicht kann man über Protokollierung aller Zugriffe und Schreib- und Lesevorgänge auf das OS diese Behauptungen überprüfen (mithilfe einer externen App etc.) - würde persönlich aber versuchen WhatsApp nicht zu verwenden.
WhatsApp verarbeitet Telefonnummern = personenbezogene Daten. Um abzugleichen, ob eine Nummer zu einem bestehende WhatsApp-Konto passt, müssen alle Nummern im Telefonbuch kurz verarbeitet werden.
Auch die Hashwerte noch nicht verwerteter Telefonnummern sind potenzell personenbeziehbar. 1. werden sie verarbeitet, sobald welche davon zu WhatsApp-Kunden werden. 2. hätte Meta identische Hashwerte aus Telefonbüchern verschiedener Konten, die ihre Kontakte abgleichen lassen und kann diese miteinander verknüpfen.
Wer WhatsApp normal installiert oder irgendwie die Abgleichfunktion auslöst, übermittelt an Meta personenbezogend Daten der Kontakte, die dann dort verarbeitet werden. Auch derer, die nichts davon wissen bzw. das nicht wollen.
D., der sich von den üblichen Verdächtigen nicht weismachen lässt, sie würden irgendwas Harmloses tun.
Die kann man sich als Meta doch auch locker anderweitig besorgen.
Wenn man sich obiges anderweitig besorgt hat, kann man darauf ja auch verzichten. Ob nun als Nummer oder als Hashwert dürfte dann kaum noch einen Unterschied machen.
Warum erhebt man diese Daten dann überhaupt? Damit man den Nutzer so ganz selbstlos über einen neuen WA Nutzer aus seiner Kontaktliste informieren kann? Sorry, aber das nehme ich Zuckerberg nicht ab.
Danke! Aber mehrere Stellungnahmen hier sind nicht wirklich eine Antwort auf die Frage, die ich gestellt hatte. Mir geht es hier nur um die Übertragung der Kontakte an WA/Meta. Und den Vergleich WA und Signal.
Mir ist klar, dass auch die Hashwerte personenbezogen sind. Sind ja nur ein Pseudonym. Mir ist auch klar, dass Meta oder Mark Zuckerberg nicht wirklich zu trauen ist.
Aber: Wer versteht, wie sich der Umgang mit den Kontakten auf den Geräten aktuell zwischen WA und Signal unterscheidet?
Sorry, lerne gerade, dass ich in diesem Forum anscheinend nicht auf einzelne Kommentare antworten kann, sondern nur gebündelt im Thread. Daher erste Veröffentlichung noch mal korrigiert.
Was für eine Antwort erwartest Du hier? Wir wissen es weder bei dem einem noch bei dem anderen, denn wir können deren Server Setup nicht kennen. Wir wissen nur, was beide sagen, aber nicht was sie tun.
Wir kennen aber das Geschäftsmodell von beiden und können daraus Schlüsse ziehen. Das wars. Mehr Erkenntnisse kann es dazu nicht geben.
Das müsste man dann aber auch über die große Mehrheit der Smartphonenutzer sagen, die Kontaktdaten in ihrem Apple- oder Google-Account speichern. Dasselbe über die Nutzer der Adressbuchfunktion von outlook.com. Vom Geschäftsmodell her werden Google und Meta das meiste Kapital aus diesen Social Graphs ziehen können, doch auch Apple und Microsoft behalten sich in ihren Datenschutzerklärungen vor, Profile zu erstellen, um personalisiert werben zu können.
Vielleicht sollte man denen, die sich nicht mit Nextcloud, Cal- und CardDAV auskennen (und sich dafür auch nie interessieren werden), schlicht raten, ihre Adressdaten europäischen Anbietern anzuvertrauen. Im Kontext dieses Threads wäre das dann wohl eine Empfehlung für Threema.
Aber ist Signal nicht Open-Source? Im Gegensatz zu WhatsApp weiß man da doch auf jeden Fall mehr oder nicht?
Klar, ob es immer auch so 1:1 umgesetzt wird, ist natürlich eine andere Frage.
Aber prinzipiell kann man sich dann auch fragen, warum man Signal vertrauen sollte? Denn ob Signal das Geschäftsmodell auch wirklich hat, welches es hat, kann man auch nicht garantieren.
Beide nutzen ja das Signal-Protokoll, aber WhatsApp ist Closed-Source und damit kann man ja nicht sehen, was verändert wurde oder ob es Hintertüren gibt.
Allerdings kann das doch auch bei Signal der Fall sein, wenn sie von der veröffentlichten „Source“ abweichen. Auch ist doch ein Audit bei Signal etwas her, wenn ich mich nicht irre.
Oder missverstehe ich gerade deinen Beitrag?
Denn nur, aufgrund eine möglichen Geschäftsmodell vertrauen aussprechen? Ich weiß ja nicht.
Der Signal-client ist open source und Du kontrollierst ihn. Das ist gut. Weil wir den client kennen, wissen wir, dass (außer der verschlüsselten Kommunikation selbst) nur die Telefonnummer übermittelt wird - kein Name, nichts sonst. Bei Whatsapp wissen wir das nicht.
Die Serversoftware ist veröffentlicht und wird dort mal mehr mal weniger aktuell gehalten (ist das in letzter Zeit besser geworden?). Den Server und welche Software da genau läuft, kontrollieren wir aber nicht. Wir können nicht unseren eigenen Signal-Server aufsetzen. Wir wissen, was Signal dazu sagt und können dem vertrauen oder eben nicht.
Auch ein Audit ändert daran nichts, denn das Audit würde ja nur einen bestimmten Zeitpunkt sehen. Es bleibt nur Vertrauen.
Auf der anderen Seite kennen wir bei Whatsapp gar keinen Code. Wir wissen aber einige Dinge, die unser Misstrauen hervorrufen sollten: client-side-scanning, datengetriebenes Geschäftsmodell, Verhalten in der Vergangenheit - das sollten klare Ausschlusskriterien sein, da sind wir uns wohl einig.
Um das klarzustellen: Die Frage ist hier nicht, ob das Protokoll oder der Kommunikationsinhalt sicher ist (das kann man auditieren und das Ergebnis war für Signal positiv), sondern nur, was mit den Kontaktdaten passiert.
Open Source ist keine Wunderwaffe. Server sind Computer, die von anderen Leute kontrolliert werden. Denen musst Du vertrauen, wenn Du sie nutzt.