whistle.im

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
whistle.im
Basisdaten

Entwickler Daniel Wirtz, Michael Bank
Erscheinungsjahr 2013
Betriebssystem Android, Browser
Kategorie Instant Messaging
Lizenz proprietäre Software, teilweise Open Source
deutschsprachig ja
whistle.im

whistle.im ist ein in Deutschland entwickelter Instant-Messenger für Smartphones und PCs.[1] Der Dienst ist mittlerweile eingestellt.

Verschlüsselungsverfahren[Bearbeiten | Quelltext bearbeiten]

Sowohl die Browser- als auch die Android-App verwenden hybride, d. h. asymmetrische gepaart mit symmetrischer Verschlüsselung mittels des RSA-Verfahrens mit 2048 Bit Schlüsseln und des AES-Verfahrens mit zufälligen 256 Bit Schlüsseln im CBC-Modus.[2] Da die eigentliche Kryptographie-Bibliothek jedoch nicht einsehbar ist, kann keine Überprüfung hinsichtlich der korrekten Implementation dieser Verfahren getätigt werden (s. Kritik)

Privatsphäre[Bearbeiten | Quelltext bearbeiten]

Die Android-App benötigt im Gegensatz zu anderen Anwendungen verhältnismäßig wenige Berechtigungen. So wird beispielsweise keine Berechtigung zum Zugriff auf die auf dem Smartphone hinterlegten Kontakte benötigt und für die Nutzung der Anwendung wird einzig eine fiktive ID und ein Passwort benötigt.[3] Zusätzlich haben die Entwickler diejenigen Daten, die auf den Servern zumindest zeitweise abgelegt werden, in einer Datenschutzerklärung offengelegt.[4]

Kritik[Bearbeiten | Quelltext bearbeiten]

Bei einer Untersuchung der einige Wochen alten Beta-Version[5] durch Falk Garbsch vom Chaos Computer Club wurden erhebliche Sicherheitsmängel festgestellt,[6] auf die die Entwickler innerhalb von drei Tagen mit einem Sicherheitsupdate reagiert haben[7], das Garbsch generell begrüßt, sich jedoch weiterhin skeptisch zeigt, da die Entwickler lediglich auf seine Kritik reagiert hätten und die gefundenen Mängel nur die Spitze des Eisberges darstellen würden. Des Weiteren wurden die Sicherheitslücken den Anwendern nicht offen kommuniziert, es findet sich lediglich ein Eintrag in der Pressemappe[8].

Ein weiterer von Garbsch geäußerter Kritikpunkt war, dass die Aussage "Unsere Kryptographie ist Open Source" auf der Webseite irreführend sei. Zwar ist ein Teil der Aufrufe von Funktionen der Kryptographie-Bibliothek als Quelltext verfügbar, nicht aber die Bibliothek selbst sowie die Hauptanwendung. Die Entwickler stellten den bereits veröffentlichten Code daraufhin im September 2013 unter die GPL-Lizenz, so dass sie seitdem auch die Anforderungen hinsichtlich freier Software erfüllt. Die Kritik bleibt insofern berechtigt, als dass lediglich die Lizenz geändert wurde, der von der Kritik betroffene Code ist weiterhin nicht veröffentlicht.[9]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Verschlüsselter Whatsapp-Konkurrent kommt aus Deutschland. In: Golem. Abgerufen am 18. August 2013.
  2. Encryption Mechanism
  3. "Wir wollen gar nicht wissen, wer da schreibt"
  4. Privacy Policy
  5. "Whistle.im ist 'Fuckup as a Service'"
  6. whistle.im: FaaS - Fuckup as a Service
  7. whistle.im: Messenger stellt sich der CCC-Kritik
  8. whistle.im: Neuer Messenger aus Deutschland mit sehr starker Verschlüsselung (Update)
  9. Commit "Now licensed under GPLv3"