Technik

Messenger-Dienste sind anfällig für Crawling-Angriffe

Privatsphäre und Nutzerdaten von über einer Milliarde Menschen potenziell gefährdet

Messenger
Messenger-Apps erleichtern das Chatten durch Abfrage der Handy-Kontaktdaten – aber das macht sie angreifbar. © alexsl/ iStock.com

Von wegen Datenschutz: Messenger-Apps wie WhatsApp, Telegram oder Signal schützen die Daten ihrer Nutzer nur unzureichend, wie deutsche IT-Forscher in einem Test aufgedeckt haben. Durch einen einfachen Trick konnten sie die Kontaktdaten und Profile von zahlreichen Nutzern dieser Anwendungen abfragen. Sie schätzen, dass rund eine Milliarde Nutzer weltweit potenziell durch solche Angriffe gefährdet sein könnten.

Dass Smartphone-Apps jede Menge persönliche Daten über uns sammeln und sie häufig auch an Dritte weitergeben, ist nichts Neues. Auch Smartwatches oder Fitnesstracker sind wahre Datenkraken. Das Problem dabei: Selbst wenn die Daten unvollständig oder anonymisiert sind, lässt sich durch die Kombination verschiedener Datensätze relativ leicht ein umfangreiches Profil unserer Bewegungen, Gewohnheiten und Kontakte erstellen.

Schwachstelle Kontaktermittlung

Noch eklatanter ist der mangelnde Datenschutz allerdings bei Messenger-Apps, wie sich nun erneut zeigt. Christoph Hagen von der Universität Würzburg und seine Kollegen hatten für ihre Studie untersucht, wie anfällig die von den Messenger-Diensten WhatsApp, Signal und Telegram gespeicherten Kontaktdaten für einen unbefugten Zugriff sind. Diese Apps greifen – die Erlaubnis des Nutzers vorausgesetzt – auf die Adressbücher der Handys zu und nutzen die dort enthaltenen Kontaktdaten, um den Austausch von Nachrichten zu vereinfachen.

Das Problem jedoch: Diese Kontaktdaten bleiben nicht lokal, sondern werden auf die Server des Anbieters hochgeladen. Viele Messenger-Apps wie WhatsApp senden dafür regelmäßig das gesamte Adressbuch, etwas stärker auf die Privatsphäre ausgerichtete Dienste wie Signal übertragen nur verschlüsselte Telefonnummern.

Angriff über getürkte Abfragen

Wie sicher diese Daten sind, haben Hagen und seine Kollegen nun in einem Test ermittelt. Dafür starteten sie einen sogenannten Crawling-Angriff auf WhatsApp, Signal und Telegram. Im Prinzip werden dafür einfach zufällige Telefonnummern bei den Kontaktermittlungs-Schnittstellen dieser Dienste abgefragt. Weil dabei die Chance groß ist, dass man eine existierende Nummer trifft, kann man sich so Zugriff verschaffen und auch andere persönliche Daten dieser Nutzer abgreifen.

„Wir gehen von einem Angreifer aus, der ein registrierter Nutzer dieser Dienste ist und daher die Kontaktermittlungs-Schnittstelle des Anbieters abfragen kann“, erklären Hagen und seine Kollegen. „Durch jede aus einer Liste von Telefonnummern bestehende Anfrage kann der Angreifer dann erfahren, welche der Nummern beim Dienst registriert sind, und bekommt auch zusätzliche Informationen über die Nutzer, beispielsweise Profilbilder.“

Auf diese Weise lassen sich nach und nach große Mengen an Nutzerdaten abfischen. Wie die Wissenschaftler erklären, liegt die nötige Rechen- und Speicherkapazität für einen solchen Crawling-Angriff durchaus in dem Bereich, der Hackern mit halbwegs guter Hardwareausstattung zur Verfügung steht.

WhatsApp, Signal und Telegram „geknackt“

Bei ihrem Testangriff fragten die Forscher zehn Prozent aller Mobilfunknummern in den USA für WhatsApp ab und 100 Prozent für Signal. Auch der Dienst Telegram wurde auf diese Weise angegriffen. Sie nutzten dabei einen Pool von 118 Milliarden möglichen Nummern, um auf Basis der typischen Verschlüsselungsmethode entsprechende „Hashes“ – kodierte Daten – zu erzeugen und mit denen der Apps abzugleichen. Für das Ver- und Entschlüsseln der Hashes gibt es im Netz entsprechende Programme.

Das Ergebnis: Bei allen Messenger-Diensten konnten die Forscher persönliche Nutzerdaten sammeln, wie sie üblicherweise in den Nutzerprofilen gespeichert sind, inklusive Profilbilder, Nutzernamen, Statustexte und die zuletzt online verbrachte Zeit. Wenn die Daten mit sozialen Netzen und anderen öffentlichen Datenquellen abgeglichen werden, lassen sich mithilfe der erbeuteten Daten sogar detaillierte Verhaltensprofile der Nutzer erstellen. Interessant auch: Der Dienst Telegram gibt sensible Informationen selbst über die Besitzer von Telefonnummern preis, die nicht bei dem Dienst registriert sind.

Was kann man dagegen tun?

Die Forschenden haben ihre Erkenntnisse bereits den jeweiligen Dienstanbietern mitgeteilt. WhatsApp hat seine Schutzmaßnahmen daraufhin so verbessert, dass großangelegte Angriffe nun erkannt werden, und Signal hat die Anzahl möglicher Abfragen reduziert, um Crawling zu erschweren. Hagen und seine Kollegen schlagen weitere Techniken zum Schutz vor, inklusive eines neuen Verfahrens zur Kontaktermittlung, die sogenannte „Private Set Intersection“. Sie würde die Effizienz von Angriffen reduzieren, ohne die Nutzbarkeit negativ zu beeinflussen.

So funktioniert die Private Set Intersection.© TU Darmstadt/ SFB 1119

Für Menschen, die Messenger-Dienste nutzen, haben die Forscher diesen Rat: „Wir empfehlen bei der Verwendung von mobilen Messengern dringend, sämtliche Privatsphäre-Einstellungen zu überprüfen. Dies ist derzeit der effektivste Schutz gegen die untersuchten Crawling-Angriffe“, betonen Alexandra Dmitrienko von der Universität Würzburg und Thomas Schneider von der TU-Darmstadt. (28. Annual Network and Distributed System Security Symposium (NDSS), 2020; (PDF))

Quelle: Technische Universität Darmstadt

Keine Meldungen mehr verpassen – mit unserem wöchentlichen Newsletter.
Teilen:

In den Schlagzeilen

News des Tages

Skelett eines ungeborenee Kindes

So entstehen die Knochen des ungeborenen Kindes

Astronomen entdecken jüngsten Transit-Planet

Mehr Blackouts durch Wind- und Sonnenstrom?

Parkinson: Wenn mehr Dopamin mehr Zittern bedeutet

Diaschauen zum Thema

Dossiers zum Thema

Bücher zum Thema

50 Schlüsselideen Digitale Kultur - Tom Chatfield und Carl Freytag

Top-Clicks der Woche