Ja. Aber wohl nicht zwingend, dass sie sowohl Shell als auch SuperUser Rechte (verwendet) hat. Zur Veranschaulichung greife ich mal eine andere im Screenshot ersichtliche Permission heraus: "Telefon (ID, Nummern, Anrufe)". Ist definitiv eine Aufzählung. Greift die App auf die ID (i.d.R. IMEI) zu, was WhatsApp definitiv tut (schon allein für Werbe-Identifikation), hat aber nie einen Anruf getätigt -- gehört dann da ein Dreieck hin oder nicht? (Antwort: Ja, aber das heißt dann nur, dass auf
mindestens eines der dahinter aufgezählten Dinge zugegriffen wurde).
Hat XPrivacy eine Logging-Funktion, wo man das Was-Wann-Wer nachschauen könnte? Damit könntest Du das prüfen. Definitiv auch im Log von SuperUser/SuperSu, denn da müsste die App dran vorbei.