StudiePrivatsphäre-Check bei Messengern ist wichtig
Sicherheit durch bessere Einstellungen bei Messengern
Logo: WhatsApp, Montage: teltarif.de
Bei Messengern sollte man regelmäßig die
Privatsphäre-Einstellungen überprüfen und diese vor allem nach
Installation einer neuen Chat-App direkt anpassen. Das sei der
effektivste Schutz gegen Angreifer, die den von vielen Messengern
genutzten Kontaktabgleich übers Smartphone-Adressbuch missbrauchen.
Zu diesem Fazit gelangen Forscherinnen und Forscher der Universität
Würzburg und der Technischen Universität Darmstadt im vergangenen September in einer Studie.
Bei den untersuchten Messengern Signal und WhatsApp, die aufs Handy-Adressbuch zugreifen und die Einträge regelmäßig zum Abgleich auf die Server des Dienstanbieters hochladen, habe sich gezeigt, dass Hacker im großen Stil und ohne nennenswerte Einschränkungen sensible Daten sammeln könnten. Das funktioniere, indem sie bei den Messengern zur Kontaktermittlung massenhaft zufällige Telefonnummern abfragen (Crawling).
Bilder, Namen, Statustexte erbeutet
Sicherheit durch bessere Einstellungen bei Messengern
Logo: WhatsApp, Montage: teltarif.de
Welche Informationen während des Kontaktabgleichs preisgegeben und
über Crawling-Angriffe gesammelt werden können, hängt vom Messenger
und den gewählten Privatsphäre-Einstellungen ab. Zu den persönlichen
Daten und Metadaten, an im Experiment abrufbar waren, gehören etwa
Profilbilder, Nutzernamen, Statustexte oder die zuletzt online
verbrachte Zeit.
Vor Veröffentlichung haben die Forschenden ihre Studienergebnisse den Diensten mitgeteilt. WhatsApp habe daraufhin nach eigenen Angaben die Schutzmaßnahmen so verbessert, dass großangelegte Angriffe künftig erkannt werden sollen. Und Signal habe die Anzahl möglicher Abfragen reduziert, um Crawling zu erschweren.
Für die Studie waren zehn Prozent aller US-Mobilfunknummern für WhatsApp und 100 Prozent für Signal abgefragt worden. Die analysierten Daten hätten auch interessante Statistiken über das Nutzerverhalten offenbart: Rund 50 Prozent aller WhatsApp-Nutzerinnen und -Nutzer in den USA haben ein öffentliches Profilbild, und sogar 90 Prozent einen öffentlichen Infotext.
Viele Signal-Nutzer haben trotzdem WhatsApp
Und 40 Prozent aller bei Signal registrierten Nutzer verwenden auch WhatsApp - obwohl die Forscherinnen und Forscher vermutet hätten, dass mehr Signal-Nutzer auf ihre Privatsphäre bedacht sind. Schließlich wertet Signal anders als WhatsApp keine Metadaten der Messenger-Nutzung aus.
Werden die übers Crawling gewonnenen Daten von Angreifern über längere Zeit verfolgt, ließen sich daraus genaue Verhaltensmodelle erstellen, warnen die Forscher. Und würden diese Daten mit denen aus sozialen Netzwerken und anderen öffentlichen Datenquellen abgeglichen, ließen sich auch detaillierte Profile erstellen und beispielsweise für Betrugsmaschen nutzen.
Telegram jongliert mit Nicht-Kunden-Nummern
Über den Messenger Telegram fanden die Forscherinnen und Forscher bei einer Untersuchung seiner Programmierschnittstelle (API) zudem heraus, dass der Dienst zur Kontaktermittlung auch sensible Informationen zu Besitzerinnen und Besitzer von Telefonnummern preisgibt, die gar nicht bei dem Messenger registriert sind.
Der Kontaktabgleich zwischen Smartphone-Adressbuch und den Servern des Messenger-Dienstes wird von Sicherheitsforschern und Datenschützern regelmäßig kritisiert. Die Messenger-Dienste fürchten aber, ohne diese Komfortfunktion Nutzerinnen und Nutzer zu verlieren. Sicherer, unter Datenschutzaspekten unbedenklicher, aber auch umständlicher wäre es, wenn erwünschte Kontakte einzeln hinzugefügt werden müssten.
Nach Kritik und einer Abwanderung von Nutzern zu anderen Messengern wird die umstrittene Änderung der Datenschutzregeln bei WhatsApp um gut drei Monate verschoben. Facebook will die Zeit nutzen, um besser über die Änderungen aufzuklären.