Whistle.im

whistle.im war ein in Deutschland entwickelter Instant-Messenger für Smartphones und PCs.^[1] Der Dienst ist mittlerweile eingestellt.

whistle.im
Basisdaten
Entwickler	Daniel Wirtz, Michael Bank
Erscheinungsjahr	2013
Betriebssystem	Android, Browser
Kategorie	Instant Messaging
Lizenz	proprietäre Software, teilweise Open Source
deutschsprachig	ja
whistle.im

Verschlüsselungsverfahren

Sowohl die Browser- als auch die Android-App verwenden hybride, d. h. asymmetrische gepaart mit symmetrischer Verschlüsselung mittels des RSA-Verfahrens mit 2048 Bit Schlüsseln und des AES-Verfahrens mit zufälligen 256 Bit Schlüsseln im CBC-Modus.^[2] Da die eigentliche Kryptographie-Bibliothek jedoch nicht einsehbar ist, kann keine Überprüfung hinsichtlich der korrekten Implementation dieser Verfahren getätigt werden (s. Kritik).

Privatsphäre

Die Android-App benötigt im Gegensatz zu anderen Anwendungen verhältnismäßig wenige Berechtigungen. So wird beispielsweise keine Berechtigung zum Zugriff auf die auf dem Smartphone hinterlegten Kontakte benötigt und für die Nutzung der Anwendung wird einzig eine fiktive ID und ein Passwort benötigt.^[3] Zusätzlich haben die Entwickler diejenigen Daten, die auf den Servern zumindest zeitweise abgelegt werden, in einer Datenschutzerklärung offengelegt.^[4]

Kritik

Bei einer Untersuchung der einige Wochen alten Beta-Version^[5] durch Falk Garbsch vom Chaos Computer Club wurden erhebliche Sicherheitsmängel festgestellt,^[6] auf die die Entwickler innerhalb von drei Tagen mit einem Sicherheitsupdate reagiert haben^[7], das Garbsch generell begrüßt, sich jedoch weiterhin skeptisch zeigt, da die Entwickler lediglich auf seine Kritik reagiert hätten und die gefundenen Mängel nur die Spitze des Eisberges darstellen würden. Des Weiteren wurden die Sicherheitslücken den Anwendern nicht offen kommuniziert, es findet sich lediglich ein Eintrag in der Pressemappe^[8].

Ein weiterer von Garbsch geäußerter Kritikpunkt war, dass die Aussage "Unsere Kryptographie ist Open Source" auf der Webseite irreführend sei. Zwar ist ein Teil der Aufrufe von Funktionen der Kryptographie-Bibliothek als Quelltext verfügbar, nicht aber die Bibliothek selbst sowie die Hauptanwendung. Die Entwickler stellten den bereits veröffentlichten Code daraufhin im September 2013 unter die GPL-Lizenz, so dass sie seitdem auch die Anforderungen hinsichtlich freier Software erfüllt. Die Kritik bleibt insofern berechtigt, als dass lediglich die Lizenz geändert wurde, der von der Kritik betroffene Code ist weiterhin nicht veröffentlicht.^[9]

Einzelnachweise

1. Achim Sawall: Verschlüsselter Whatsapp-Konkurrent kommt aus Deutschland. In: golem.de. 8. August 2013, abgerufen am 18. August 2013. 
2. Encryption Mechanism (Memento vom 6. Mai 2016 im Internet Archive)
3. kathrin-hollmer: "Wir wollen gar nicht wissen, wer da schreibt". In: sueddeutsche.de. 16. August 2013; abgerufen im 1. Januar 1. 
4. Privacy Policy (Memento vom 3. März 2016 im Internet Archive)
5. Whistle.im ist 'Fuckup as a Service'. In: golem.de. Abgerufen im 1. Januar 1 
6. nexus: whistle.im: FaaS - Fuckup as a Service. In: ccc.de. Abgerufen im 1. Januar 1 
7. Carsten Knobloch: whistle.im: Messenger stellt sich der CCC-Kritik. In: stadt-bremerhaven.de. 22. August 2013; abgerufen im 1. Januar 1. 
8. whistle.im: Neuer Messenger aus Deutschland mit sehr starker Verschlüsselung (Update) (Memento vom 18. August 2013 im Internet Archive)
9. Commit "Now licensed under GPLv3" (Memento vom 14. Dezember 2015 im Internet Archive)