Whatsapp und Co. haben ein ernstes Privacy-Problem

18. September 2020 um 13:13
image

Whatsapp, Telegram und Signal fallen in einer Studie durch, da sich sensible Daten relativ einfach erbeuten lassen. Threema warnt vor dem Einfallstor.

Eine Studie der Uni Würzburg und der TU Darmstadt zeigt, wie man persönliche Daten aus Whatsapp, Telegram und Signal erbeuten kann. In einem Versuch gelang es den Forschenden, Kontakte aus dem Adressbuch der User auszulesen. Aber auch Profilbilder, Nutzernamen, Statustexte und Angaben, wann jemand online war, konnten sie erbeuten.
Gelungen ist dies den Wissenschaftlern mit relativ einfach durchführbaren Crawling-Angriffen. Dabei werden bei den Diensten zur Kontakterkennung zufällige Telefonnummern abgefragt. Diese Dienste sorgen dafür, dass User von Messengern direkt nach der Installation mit den Kontakten in ihrem Adressbuch chatten können. Dazu schicken die Messenger die Daten immer wieder an die Server des Dienst-Providers, damit diese aktuell bleiben.
Whatsapp und Telegram übertragen dabei das gesamte Adressbuch. Signal schickt kryptographisch gehashte Datensätze. Die Forschenden konnten diese allerdings entschlüsseln und so die Telefonnummern eruieren. Das Problem ist, dass viele Eigenschaften von Telefonnummern standardisiert sind, was Brute-Force-Entschlüsselungen erleichtert. "Leider deutet die geringe Entropie von Telefonnummern darauf hin, dass es möglich ist, solche Hash-Werte umzukehren. Es gibt – trotz aller guten Absichten – keinen Gewinn an Privatsphäre", halten die Forscher in einem Beitrag auf Github fest.

Threema hat Synchronisation per default ausgeschaltet

Wie sieht es mit der Privatsphäre beim Schweizer Messenger Threema aus, der in der Bundesverwaltung und in Schulen zum Einsatz kommt? Die Synchronisation sei standardmässig deaktiviert und es würden keine Adressbuchdaten ausgelesen, kann man den Datenschutzangaben entnehmen.
Wenn man die Synchronisation einschalte, würden E-Mail-Adressen und Telefonnummern aus dem Adressbuch gehasht und mit TLS gesichert an die hauseigenen Server übertragen, heisst es weiter. Allerdings warnt auch Threema hier eindringlich: "Aufgrund der relativ geringen Anzahl möglicher Zahlenkombinationen von Telefonnummern können Hashes davon theoretisch per Brute-Force-Attacke entschlüsselt werden."

Milliarden von User sind von Attacken bedroht

Hacker könnten ohne grosse Einschränkungen sensible Daten erbeuten, bilanzieren die Forschenden ihren Feldversuch mit Whatsapp, Telegram und Signal. Bedroht sind laut den Forschern Milliarden von Usern weltweit. Da diese häufig mehrere Messenger nutzten und ihre Profile teilweise mit Social-Media-Accounts in Verbindung gebracht werden könnten, liessen sich über eine gewisse Zeit Verhaltensprofile erstellen. Diese wiederum könnten für betrügerische Angriffe genutzt werden.
User müssen nach der Installation ihre Zustimmung geben, dass die Messenger-Dienste auf ihr Adressbuch zugreifen können. Die allerwenigsten würden die Datenschutzbestimmungen derweil ändern, schreiben die Forschenden. Damit können sie aber auch Menschen gefährden, die den Messenger gar nicht nutzen, aber in ihrem Adressbuch gespeichert sind.
Als Beispiel wird im Beitrag auf Github Whatsapp angeführt. Als der Dienst 2014 von Facebook übernommen wurde, wurden die Datenbanken mit der neuen Muttergesellschaft geteilt. Die Folge: Facebook-Nutzer erhielten Freundschaftsempfehlungen von Fremden, die zufällig die gleichen Psychiater aufsuchten. Auch bei Telegram sieht die Situation nicht besser aus: Wir stellten fest, "dass die API eine Vielzahl sensibler Informationen preisgibt, sogar über Nummern, die nicht bei diesem Dienst registriert sind", schreiben die Wissenschaftler.
Sie haben ihre Erkenntnisse an die Anbieter weitergereicht. Whatsapp und Telegram hätten bereits reagiert, um solche Angriffe zu erschweren oder sie zumindest zu erkennen, heisst es im Github-Beitrag.

Loading

Mehr zum Thema

image

Bundesrat soll bei E-Health der Tätschmeister sein

Bei der Digitalisierung des Gesundheitswesens soll der Staat die Hauptrolle spielen. Zu diesem Schluss kommt eine Studie von Digitalswitzerland.

publiziert am 30.3.2023
image

EFK: BIT soll dringend Ransomware-Schutz ins Backup implementieren

Die Finanzkontrolle hat dem Bundesamt für Informatik gute Noten für das Backup-Angebot ausgestellt. Ransomware wurde aber im BIT bislang offenbar vernachlässigt.

publiziert am 30.3.2023
image

Cyberangriff trifft IT-Berater Materna

Die Website des auch in der Schweiz aktiven Consultants ist down, die Systeme sind nur beschränkt verfügbar, die Kommunikation ist über verschiedene Kanäle gestört.

publiziert am 29.3.2023
image

Amazon verbindet seine Geräte zu einem Riesennetz

Eine Milliarde Geräte will der Konzern zusammenschliessen. Er öffnet das Sidewalk-Netz für externe Entwickler.

publiziert am 29.3.2023