Whatsapp und Co. haben ein ernstes Privacy-Problem

18. September 2020, 13:13
image

Whatsapp, Telegram und Signal fallen in einer Studie durch, da sich sensible Daten relativ einfach erbeuten lassen. Threema warnt vor dem Einfallstor.

Eine Studie der Uni Würzburg und der TU Darmstadt zeigt, wie man persönliche Daten aus Whatsapp, Telegram und Signal erbeuten kann. In einem Versuch gelang es den Forschenden, Kontakte aus dem Adressbuch der User auszulesen. Aber auch Profilbilder, Nutzernamen, Statustexte und Angaben, wann jemand online war, konnten sie erbeuten.
Gelungen ist dies den Wissenschaftlern mit relativ einfach durchführbaren Crawling-Angriffen. Dabei werden bei den Diensten zur Kontakterkennung zufällige Telefonnummern abgefragt. Diese Dienste sorgen dafür, dass User von Messengern direkt nach der Installation mit den Kontakten in ihrem Adressbuch chatten können. Dazu schicken die Messenger die Daten immer wieder an die Server des Dienst-Providers, damit diese aktuell bleiben.
Whatsapp und Telegram übertragen dabei das gesamte Adressbuch. Signal schickt kryptographisch gehashte Datensätze. Die Forschenden konnten diese allerdings entschlüsseln und so die Telefonnummern eruieren. Das Problem ist, dass viele Eigenschaften von Telefonnummern standardisiert sind, was Brute-Force-Entschlüsselungen erleichtert. "Leider deutet die geringe Entropie von Telefonnummern darauf hin, dass es möglich ist, solche Hash-Werte umzukehren. Es gibt – trotz aller guten Absichten – keinen Gewinn an Privatsphäre", halten die Forscher in einem Beitrag auf Github fest.

Threema hat Synchronisation per default ausgeschaltet

Wie sieht es mit der Privatsphäre beim Schweizer Messenger Threema aus, der in der Bundesverwaltung und in Schulen zum Einsatz kommt? Die Synchronisation sei standardmässig deaktiviert und es würden keine Adressbuchdaten ausgelesen, kann man den Datenschutzangaben entnehmen.
Wenn man die Synchronisation einschalte, würden E-Mail-Adressen und Telefonnummern aus dem Adressbuch gehasht und mit TLS gesichert an die hauseigenen Server übertragen, heisst es weiter. Allerdings warnt auch Threema hier eindringlich: "Aufgrund der relativ geringen Anzahl möglicher Zahlenkombinationen von Telefonnummern können Hashes davon theoretisch per Brute-Force-Attacke entschlüsselt werden."

Milliarden von User sind von Attacken bedroht

Hacker könnten ohne grosse Einschränkungen sensible Daten erbeuten, bilanzieren die Forschenden ihren Feldversuch mit Whatsapp, Telegram und Signal. Bedroht sind laut den Forschern Milliarden von Usern weltweit. Da diese häufig mehrere Messenger nutzten und ihre Profile teilweise mit Social-Media-Accounts in Verbindung gebracht werden könnten, liessen sich über eine gewisse Zeit Verhaltensprofile erstellen. Diese wiederum könnten für betrügerische Angriffe genutzt werden.
User müssen nach der Installation ihre Zustimmung geben, dass die Messenger-Dienste auf ihr Adressbuch zugreifen können. Die allerwenigsten würden die Datenschutzbestimmungen derweil ändern, schreiben die Forschenden. Damit können sie aber auch Menschen gefährden, die den Messenger gar nicht nutzen, aber in ihrem Adressbuch gespeichert sind.
Als Beispiel wird im Beitrag auf Github Whatsapp angeführt. Als der Dienst 2014 von Facebook übernommen wurde, wurden die Datenbanken mit der neuen Muttergesellschaft geteilt. Die Folge: Facebook-Nutzer erhielten Freundschaftsempfehlungen von Fremden, die zufällig die gleichen Psychiater aufsuchten. Auch bei Telegram sieht die Situation nicht besser aus: Wir stellten fest, "dass die API eine Vielzahl sensibler Informationen preisgibt, sogar über Nummern, die nicht bei diesem Dienst registriert sind", schreiben die Wissenschaftler.
Sie haben ihre Erkenntnisse an die Anbieter weitergereicht. Whatsapp und Telegram hätten bereits reagiert, um solche Angriffe zu erschweren oder sie zumindest zu erkennen, heisst es im Github-Beitrag.

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Hacker erbeuten wohl Daten von 300'000 Toyota-Kunden

Cyberkriminelle sollen Daten von bis zu 300'000 Kunden des japanischen Auto-Riesen erbeutet haben. Die Schweiz soll nicht betroffen sein, sondern nur Nutzer vom Onlinecockpit T-Connect.

publiziert am 7.10.2022
image

Zahlreiche US-amerikanische Krankenhäuser schon wieder von Cybervorfall betroffen

Die zweitgrösste US-amerikanische Gesundheitsorganisation Commonspirit Health ist Opfer einer Cyberattacke geworden. Einige IT-Systeme mussten abgestellt werden.

publiziert am 7.10.2022
image

Bandenwerbung gegen Cyberdefense

Seit diesem Jahr verteidigt der BSC Young Boys mit Acronis gegen Cyberangreifer. Der Anbieter setzt vermehrt auf Sportvereine als Zugpferde und bezahlt YB für den Einsatz der Produkte.

publiziert am 7.10.2022 2