Massenhaftem Auslesen von Kontakten

Massenhaftem Auslesen von Kontakten

Verfahren zur Kontaktermittlung bei populären Messengern gefährdeten die Privatsphäre von über einer Milliarde Nutzern, schlagen Datenschützer Alarm. Der Zugriff von Messenger-Diensten wie WhatsApp auf das Adressbuch für die Kommunikation mit bereits bestehenden Kontakten gilt generell als datenschutzrechtlich problematisch. Über einfache Crawling-Angriffe in Form der zufälligen Abfrage von Telefonnummern lässt sich das soziale Umfeld von Nutzern aber in noch stärker ausspionieren, zeigt eine Studie von IT-Sicherheitsforschern. Sie sehen damit „die Privatsphäre von weit mehr als einer Milliarde“ Anwender bedroht. Für die Untersuchung fragten die Wissenschaftler der Würzburger Secure Software Systems Group und der Darmstädter Cryptography and Privacy Engineering Group laut der als Preprint veröffentlichten Ergebnisse zunächst anhand einer Datenbank zufällig ausgewählte zehn Prozent aller Mobilfunknummern in den USA für WhatsApp und 100 Prozent für Signal ab. Dadurch waren sie in der Lage, persönliche Informationen inklusive Metadaten zu sammeln, wie sie üblicherweise in den Nutzerprofilen der Messenger gespeichert werden. Dazu gehörten etwa auch Profilbilder, Nutzernamen, Statustexte und die „zuletzt online“ verbrachte Zeit. Die analysierten Daten offenbaren aussagekräftige Statistiken über das Verhalten der Anwender. So ändern nur sehr wenige Nutzer die standardmäßigen Privatsphäre-Einstellungen, obwohl diese für die meisten nicht sonderlich datenschutzfreundlich sind. Die Teams fanden heraus, dass ungefähr 50 Prozent aller WhatsApp-User in den USA ein öffentliches Profilbild haben und 90 Prozent einen öffentlichen Infotext. 40 Prozent aller bei Signal Registrierten hatten auch das von Datenschützern kritischer gesehene WhatsApp in Betrieb, die Hälfte davon sogar ein öffentliches Profilbild dort gespeichert.

Verhaltensmodelle möglich

Angreifer, die solche Daten über die Zeit hinweg verfolgen, können genaue Verhaltensmodelle in Form des sogenannten Social Graph erstellen. Wenn sie die Informationen mit weiteren Angaben in sozialen Netzwerken und anderen öffentlichen Datenquellen abgleichen, können sie auch detaillierte Profile erstellen und etwa für Betrugsmaschen sowie Abzocke nutzen. Auch Telegram nahmen die Experten unter die Lupe und stellten fest, dass der Dienst zur Kontaktermittlung sogar die Anzahl möglicher Kommunikationspartner für die Besitzer von Telefonnummern preisgibt, die gar nicht bei dem Dienst registriert sind. Das API der App legt eine breite Palette sensibler Informationen offen. Welche Daten während des Adressbuchabgleichs publik werden und über Crawling-Angriffe gesammelt werden können, hängt vom Dienstanbieter und den gewählten Privatsphäre-Einstellungen ab. WhatsApp und Telegram übertragen das komplette Adressbuch der Nutzer an Server, während sich Signal etwa mit kurzen kryptographischen Hashwerten von Telefonnummern begnügt.

Keine nennenswerten Hürden

Die Forscher zeigen jedoch, dass es mit optimierten Angriffsstrategien auch möglich ist, von diesen Prüfsummen innerhalb von Millisekunden auf die zugehörigen Telefonnummern zu schließen. Dritte könnten einfach eine große Anzahl an Konten erstellen und die Nutzerdatenbanken eines Messengers dann nach Informationen durchforsten, indem sie Daten für zufällige Telefonnummern abfragen. Nennenswerte Hürden für die Registrierung bei Chat-Diensten gebe es nicht. Zudem schlagen sie verschiedene Techniken zum Schutz vor Crawling-Angriffen vor wie etwa ein verbessertes Verfahren zur Kontaktermittlung, wodurch die Nutzbarkeit der Anwendungen nicht negativ beeinflusst würde. Ihre Resultate, die sie auf einer GitHub-Seite zusammengefasst haben, wollen sie im Februar 2021 auch auf dem 28. Annual Network and Distributed System Security Symposium (NDSS) präsentieren.