„Extrem unsicher“: Beliebte Messenger gefährden Privatsphäre Milliarden Nutzer

Nach der Installation eines mobilen Nachrichtendienstes wie WhatsApp können Nutzer direkt miteinander interagieren, wenn die Telefonnummern ihrer Kontakte im Adressbuch gespeichert sind. Dafür verlangt die Messenger-App die Erlaubnis, auf die Kontakte zuzugreifen und diese regelmäßig online hochzuladen sowie abzugleichen.

Eine aktuelle Studie der Universitäten Würzburg und Darmstadt zeigt, dass diese derzeit verwendete Methoden zur Kontaktermittlung die Privatsphäre von weit mehr als einer Milliarde Nutzern massiv bedrohen. Unter Verwendung sehr weniger Ressourcen war das Team in der Lage, Abfragen an die populären Messenger WhatsApp, Signal und Telegram durchzuführen. Die Experimente zeigen, dass Hacker „im großen Stil und ohne nennenswerte Einschränkungen“ sensible Daten sammeln können.

Genaue Verhaltensmodelle aller Nutzer – auch ohne eigenes Messenger-Profil

Für die umfangreiche Studie haben die Forscher zehn Prozent aller WhatsApp-Nummern und 100 Prozent der Signal-Nummern in den USA abgefragt. Dadurch waren sie in der Lage, persönliche Daten aus den – meist öffentlichen – Nutzerprofilen zu sammeln, inklusive Profilbilder, Nutzernamen, Statustexte und die „zuletzt online“-Zeit.

Die analysierten Daten offenbarten aber auch interessante Statistiken über das Nutzerverhalten. Beispielsweise ändern nur sehr wenige Nutzer die standardmäßigen Privatsphären-Einstellungen. Diese sind jedoch für die meisten Messenger ganz und gar nicht Privatsphäre-freundlich. So fand das Team heraus, dass ungefähr die Hälfte aller WhatsApp-Nutzer in den USA ein öffentliches Profilbild haben. Sogar 90 Prozent der Nutzer haben einen öffentlichen Statustext.

Interessanterweise benutzten etwa 4 von 10 (vermeintlich sicherheitsbewussten) Signal-Nutzern auch WhatsApp. Jeder zweite von Ihnen hat dort ein öffentliches Profilbild. Gleichen Dritte diese Daten mit sozialen Netzwerken ab, entstehen detaillierte Persönlichkeits- und Verhaltensprofile, die Betrügern in die Hände spielen.

Bezüglich Telegram fanden die Forscher heraus, dass der Dienst zur Kontaktermittlung auch die Anzahl möglicher Kontakte mit Telefonnummern preisgibt, die nicht bei dem Dienst registriert sind.

Dringende Empfehlung zur Überprüfung sämtlicher Privatsphäreneinstellungen

Welche Informationen während der Kontaktermittlung weitergegeben und gesammelt werden können, hänge vom Messenger und den gewählten Privatsphäre-Einstellungen der Nutzer ab. Beispielsweise übertragen WhatsApp und Telegram das komplette Adressbuch der Nutzer an entsprechende Server. Privatsphäre-schützende Messenger wie Signal übertragen nur kurze kryptographische Hashwerte von Telefonnummern oder verlassen sich auf vertrauenswürdige Hardware. Optimierte Angriffsstrategien legten jedoch auch diese Daten schnell offen.

Noch gravierender sei: Weil es keine großen Hürden für die Registrierung gebe, könnten Hacker leicht Hunderte Accounts zur Datenabfrage erstellen. Scheinbar zufällige Abfragen könnten die Anbieter schlechter als gezielten Angriff bewerten und blockieren. Daher empfehlen die Forscher Messenger-Nutzern dringend, selbst aktiv zu werden. Prof. Alexandra Dmitrienko (Uni Würzburg) und Prof. Thomas Schneider (TU Darmstadt) sind sich einig:

Wir empfehlen bei der Verwendung von mobilen Messengern dringend, sämtliche Privatsphäre-Einstellungen zu überprüfen. Dies ist derzeit der effektivste Schutz gegen unsere untersuchten Crawling-Angriffe.“

Nach der Veröffentlichung der Ergebnisse haben sowohl WhatsApp als auch Signal seine Schutzmaßnahmen verbessert „um Crawling zu erschweren“. Die Forscher schlagen darüber hinaus weitere Maßnahmen vor, einschließlich eines neuen Verfahrens zur Kontaktermittlung.

Die vollständigen Forschungsergebnisse veröffentlichten sie in der Studie „All the Numbers are US: Large-scale Abuse of Contact Discovery in Mobile Messengers“. Sie präsentieren ihre Ergebnisse zudem im Februar 2021 auf einer der größten Konferenzen für IT-Sicherheit, dem 28. Annual Network and Distributed System Security Symposium (NDSS) in San Diego, Kalifornien.

(Mit Material der Technischen Universität Darmstadt)