Whatsapp und Co. haben ein ernstes Privacy-Problem

18. September 2020 um 13:13
image

Whatsapp, Telegram und Signal fallen in einer Studie durch, da sich sensible Daten relativ einfach erbeuten lassen. Threema warnt vor dem Einfallstor.

Eine Studie der Uni Würzburg und der TU Darmstadt zeigt, wie man persönliche Daten aus Whatsapp, Telegram und Signal erbeuten kann. In einem Versuch gelang es den Forschenden, Kontakte aus dem Adressbuch der User auszulesen. Aber auch Profilbilder, Nutzernamen, Statustexte und Angaben, wann jemand online war, konnten sie erbeuten.
Gelungen ist dies den Wissenschaftlern mit relativ einfach durchführbaren Crawling-Angriffen. Dabei werden bei den Diensten zur Kontakterkennung zufällige Telefonnummern abgefragt. Diese Dienste sorgen dafür, dass User von Messengern direkt nach der Installation mit den Kontakten in ihrem Adressbuch chatten können. Dazu schicken die Messenger die Daten immer wieder an die Server des Dienst-Providers, damit diese aktuell bleiben.
Whatsapp und Telegram übertragen dabei das gesamte Adressbuch. Signal schickt kryptographisch gehashte Datensätze. Die Forschenden konnten diese allerdings entschlüsseln und so die Telefonnummern eruieren. Das Problem ist, dass viele Eigenschaften von Telefonnummern standardisiert sind, was Brute-Force-Entschlüsselungen erleichtert. "Leider deutet die geringe Entropie von Telefonnummern darauf hin, dass es möglich ist, solche Hash-Werte umzukehren. Es gibt – trotz aller guten Absichten – keinen Gewinn an Privatsphäre", halten die Forscher in einem Beitrag auf Github fest.

Threema hat Synchronisation per default ausgeschaltet

Wie sieht es mit der Privatsphäre beim Schweizer Messenger Threema aus, der in der Bundesverwaltung und in Schulen zum Einsatz kommt? Die Synchronisation sei standardmässig deaktiviert und es würden keine Adressbuchdaten ausgelesen, kann man den Datenschutzangaben entnehmen.
Wenn man die Synchronisation einschalte, würden E-Mail-Adressen und Telefonnummern aus dem Adressbuch gehasht und mit TLS gesichert an die hauseigenen Server übertragen, heisst es weiter. Allerdings warnt auch Threema hier eindringlich: "Aufgrund der relativ geringen Anzahl möglicher Zahlenkombinationen von Telefonnummern können Hashes davon theoretisch per Brute-Force-Attacke entschlüsselt werden."

Milliarden von User sind von Attacken bedroht

Hacker könnten ohne grosse Einschränkungen sensible Daten erbeuten, bilanzieren die Forschenden ihren Feldversuch mit Whatsapp, Telegram und Signal. Bedroht sind laut den Forschern Milliarden von Usern weltweit. Da diese häufig mehrere Messenger nutzten und ihre Profile teilweise mit Social-Media-Accounts in Verbindung gebracht werden könnten, liessen sich über eine gewisse Zeit Verhaltensprofile erstellen. Diese wiederum könnten für betrügerische Angriffe genutzt werden.
User müssen nach der Installation ihre Zustimmung geben, dass die Messenger-Dienste auf ihr Adressbuch zugreifen können. Die allerwenigsten würden die Datenschutzbestimmungen derweil ändern, schreiben die Forschenden. Damit können sie aber auch Menschen gefährden, die den Messenger gar nicht nutzen, aber in ihrem Adressbuch gespeichert sind.
Als Beispiel wird im Beitrag auf Github Whatsapp angeführt. Als der Dienst 2014 von Facebook übernommen wurde, wurden die Datenbanken mit der neuen Muttergesellschaft geteilt. Die Folge: Facebook-Nutzer erhielten Freundschaftsempfehlungen von Fremden, die zufällig die gleichen Psychiater aufsuchten. Auch bei Telegram sieht die Situation nicht besser aus: Wir stellten fest, "dass die API eine Vielzahl sensibler Informationen preisgibt, sogar über Nummern, die nicht bei diesem Dienst registriert sind", schreiben die Wissenschaftler.
Sie haben ihre Erkenntnisse an die Anbieter weitergereicht. Whatsapp und Telegram hätten bereits reagiert, um solche Angriffe zu erschweren oder sie zumindest zu erkennen, heisst es im Github-Beitrag.

Loading

Kommentare

Mehr zum Thema

image

Schlag gegen DDoS-Bande Noname057(16)

Mehrere Sicherheitsbehörden melden einen Erfolg im Kampf gegen Cyberkriminalität. Die als prorussisch eingestufte Hackergruppe Noname057(16) ist offenbar empfindlich getroffen worden.

publiziert am 16.7.2025
image

Zero-Day-Lücke in Chrome

Google hat die Sicherheitslücke gepatcht und einige Details bekannt gegeben.

publiziert am 16.7.2025
image

Post hat fast eine Million an Bug-Bounty-Prämien ausbezahlt

Seit 2020 läuft das offizielle Bug-Bounty-Programm der Post. Mit Erfolg, denn rund 3000 Schwachstellen wurden bis jetzt gemeldet.

publiziert am 15.7.2025
image

Security-Behörde nennt Citrix-Lücke "unakzeptables Risiko"

Die Schwachstelle in Citrix-Netscaler lässt die CISA aktiv werden. US-Behörden müssen sofort handeln.

publiziert am 14.7.2025