Whatsapp und Co. haben ein ernstes Privacy-Problem

18. September 2020 um 13:13
image

Whatsapp, Telegram und Signal fallen in einer Studie durch, da sich sensible Daten relativ einfach erbeuten lassen. Threema warnt vor dem Einfallstor.

Eine Studie der Uni Würzburg und der TU Darmstadt zeigt, wie man persönliche Daten aus Whatsapp, Telegram und Signal erbeuten kann. In einem Versuch gelang es den Forschenden, Kontakte aus dem Adressbuch der User auszulesen. Aber auch Profilbilder, Nutzernamen, Statustexte und Angaben, wann jemand online war, konnten sie erbeuten.
Gelungen ist dies den Wissenschaftlern mit relativ einfach durchführbaren Crawling-Angriffen. Dabei werden bei den Diensten zur Kontakterkennung zufällige Telefonnummern abgefragt. Diese Dienste sorgen dafür, dass User von Messengern direkt nach der Installation mit den Kontakten in ihrem Adressbuch chatten können. Dazu schicken die Messenger die Daten immer wieder an die Server des Dienst-Providers, damit diese aktuell bleiben.
Whatsapp und Telegram übertragen dabei das gesamte Adressbuch. Signal schickt kryptographisch gehashte Datensätze. Die Forschenden konnten diese allerdings entschlüsseln und so die Telefonnummern eruieren. Das Problem ist, dass viele Eigenschaften von Telefonnummern standardisiert sind, was Brute-Force-Entschlüsselungen erleichtert. "Leider deutet die geringe Entropie von Telefonnummern darauf hin, dass es möglich ist, solche Hash-Werte umzukehren. Es gibt – trotz aller guten Absichten – keinen Gewinn an Privatsphäre", halten die Forscher in einem Beitrag auf Github fest.

Threema hat Synchronisation per default ausgeschaltet

Wie sieht es mit der Privatsphäre beim Schweizer Messenger Threema aus, der in der Bundesverwaltung und in Schulen zum Einsatz kommt? Die Synchronisation sei standardmässig deaktiviert und es würden keine Adressbuchdaten ausgelesen, kann man den Datenschutzangaben entnehmen.
Wenn man die Synchronisation einschalte, würden E-Mail-Adressen und Telefonnummern aus dem Adressbuch gehasht und mit TLS gesichert an die hauseigenen Server übertragen, heisst es weiter. Allerdings warnt auch Threema hier eindringlich: "Aufgrund der relativ geringen Anzahl möglicher Zahlenkombinationen von Telefonnummern können Hashes davon theoretisch per Brute-Force-Attacke entschlüsselt werden."

Milliarden von User sind von Attacken bedroht

Hacker könnten ohne grosse Einschränkungen sensible Daten erbeuten, bilanzieren die Forschenden ihren Feldversuch mit Whatsapp, Telegram und Signal. Bedroht sind laut den Forschern Milliarden von Usern weltweit. Da diese häufig mehrere Messenger nutzten und ihre Profile teilweise mit Social-Media-Accounts in Verbindung gebracht werden könnten, liessen sich über eine gewisse Zeit Verhaltensprofile erstellen. Diese wiederum könnten für betrügerische Angriffe genutzt werden.
User müssen nach der Installation ihre Zustimmung geben, dass die Messenger-Dienste auf ihr Adressbuch zugreifen können. Die allerwenigsten würden die Datenschutzbestimmungen derweil ändern, schreiben die Forschenden. Damit können sie aber auch Menschen gefährden, die den Messenger gar nicht nutzen, aber in ihrem Adressbuch gespeichert sind.
Als Beispiel wird im Beitrag auf Github Whatsapp angeführt. Als der Dienst 2014 von Facebook übernommen wurde, wurden die Datenbanken mit der neuen Muttergesellschaft geteilt. Die Folge: Facebook-Nutzer erhielten Freundschaftsempfehlungen von Fremden, die zufällig die gleichen Psychiater aufsuchten. Auch bei Telegram sieht die Situation nicht besser aus: Wir stellten fest, "dass die API eine Vielzahl sensibler Informationen preisgibt, sogar über Nummern, die nicht bei diesem Dienst registriert sind", schreiben die Wissenschaftler.
Sie haben ihre Erkenntnisse an die Anbieter weitergereicht. Whatsapp und Telegram hätten bereits reagiert, um solche Angriffe zu erschweren oder sie zumindest zu erkennen, heisst es im Github-Beitrag.

Loading

Mehr erfahren

Mehr zum Thema

image

Wo sich der Grossteil der Cybercrime-Aktivitäten abspielt

Eine Forschungsarbeit der Universität Oxford zeigt die globalen Cybercrime-Hotspots. Dies soll dem privaten wie öffentlichen Sektor helfen, Ressourcen gezielt einzusetzen.

publiziert am 12.4.2024
image

Podcast: Das Gesundheitswesen und die Cybersicherheit

Das Bundesamt für Gesundheit ist auf der Suche nach einem Dienstleister, der Unterstützung im Bereich Cybersicherheit bietet. In einer Ausschreibung haben wir mehrere Mängel festgestellt. In der aktuellen Podcast-Episode reden wir unter anderem darüber.

publiziert am 12.4.2024
image

Die neuen Namen im Ransomware-Geschäft

Neue Banden wie Akira, Qilin oder Rhysida haben in der Schweiz bereits Opfer gefunden. Wir haben uns gefragt, wer und was sich dahinter verbirgt – und Antworten gefunden.

publiziert am 11.4.2024
image

Google liest öffentliche Docs für KI-Trainings

Es ist wenig überraschend, aber doch augenöffnend: Alles, was online und öffentlich ist, wird für KI-Trainings genutzt. Unter bestimmten Bedingungen auch Google Docs.

publiziert am 11.4.2024