Eine Studie der Uni Würzburg und der TU Darmstadt zeigt, wie man persönliche Daten aus Whatsapp, Telegram und Signal erbeuten kann. In einem Versuch gelang es den Forschenden, Kontakte aus dem Adressbuch der User auszulesen. Aber auch Profilbilder, Nutzernamen, Statustexte und Angaben, wann jemand online war, konnten sie erbeuten.

Gelungen ist dies den Wissenschaftlern mit relativ einfach durchführbaren Crawling-Angriffen. Dabei werden bei den Diensten zur Kontakterkennung zufällige Telefonnummern abgefragt. Diese Dienste sorgen dafür, dass User von Messengern direkt nach der Installation mit den Kontakten in ihrem Adressbuch chatten können. Dazu schicken die Messenger die Daten immer wieder an die Server des Dienst-Providers, damit diese aktuell bleiben.

Whatsapp und Telegram übertragen dabei das gesamte Adressbuch. Signal schickt kryptographisch gehashte Datensätze. Die Forschenden konnten diese allerdings entschlüsseln und so die Telefonnummern eruieren. Das Problem ist, dass viele Eigenschaften von Telefonnummern standardisiert sind, was Brute-Force-Entschlüsselungen erleichtert. "Leider deutet die geringe Entropie von Telefonnummern darauf hin, dass es möglich ist, solche Hash-Werte umzukehren. Es gibt – trotz aller guten Absichten – keinen Gewinn an Privatsphäre", halten die Forscher in einem Beitrag auf Github fest.

Wie sieht es mit der Privatsphäre beim Schweizer Messenger Threema aus, der in der Bundesverwaltung und in Schulen zum Einsatz kommt? Die Synchronisation sei standardmässig deaktiviert und es würden keine Adressbuchdaten ausgelesen, kann man den Datenschutzangaben entnehmen.

Wenn man die Synchronisation einschalte, würden E-Mail-Adressen und Telefonnummern aus dem Adressbuch gehasht und mit TLS gesichert an die hauseigenen Server übertragen, heisst es weiter. Allerdings warnt auch Threema hier eindringlich: "Aufgrund der relativ geringen Anzahl möglicher Zahlenkombinationen von Telefonnummern können Hashes davon theoretisch per Brute-Force-Attacke entschlüsselt werden."

Hacker könnten ohne grosse Einschränkungen sensible Daten erbeuten, bilanzieren die Forschenden ihren Feldversuch mit Whatsapp, Telegram und Signal. Bedroht sind laut den Forschern Milliarden von Usern weltweit. Da diese häufig mehrere Messenger nutzten und ihre Profile teilweise mit Social-Media-Accounts in Verbindung gebracht werden könnten, liessen sich über eine gewisse Zeit Verhaltensprofile erstellen. Diese wiederum könnten für betrügerische Angriffe genutzt werden.

User müssen nach der Installation ihre Zustimmung geben, dass die Messenger-Dienste auf ihr Adressbuch zugreifen können. Die allerwenigsten würden die Datenschutzbestimmungen derweil ändern, schreiben die Forschenden. Damit können sie aber auch Menschen gefährden, die den Messenger gar nicht nutzen, aber in ihrem Adressbuch gespeichert sind.

Als Beispiel wird im Beitrag auf Github Whatsapp angeführt. Als der Dienst 2014 von Facebook übernommen wurde, wurden die Datenbanken mit der neuen Muttergesellschaft geteilt. Die Folge: Facebook-Nutzer erhielten Freundschaftsempfehlungen von Fremden, die zufällig die gleichen Psychiater aufsuchten. Auch bei Telegram sieht die Situation nicht besser aus: Wir stellten fest, "dass die API eine Vielzahl sensibler Informationen preisgibt, sogar über Nummern, die nicht bei diesem Dienst registriert sind", schreiben die Wissenschaftler.

Sie haben ihre Erkenntnisse an die Anbieter weitergereicht. Whatsapp und Telegram hätten bereits reagiert, um solche Angriffe zu erschweren oder sie zumindest zu erkennen, heisst es im Github-Beitrag.