Thought Leadership
Meta hat eine neue Funktion namens “Friend Map” in Instagram eingeführt, die es Nutzern ermöglicht, den Standort ihrer Freunde zu sehen und gemeinsame Treffpunkte zu entdecken. Doch was als unterhaltsame Social-Media-Funktion beworben wird, bereitet Sicherheitsexperten von Check Point erhebliche Sorgen.
Die Friend Map erfasst Standortdaten auf zwei Wegen: Zum einen werden app-gesteuerte Standortprotokolle angelegt, die den letzten Standort aufzeichnen, wenn die Instagram-App geöffnet wird. Zum anderen indexiert die Funktion alle Reels, Stories oder Feed-Beiträge mit Standort-Tags und verknüpft sie mit dem Nutzerprofil.
Obwohl es sich nicht um eine kontinuierliche GPS-Verfolgung handelt, entsteht durch wiederholte Anmeldungen an denselben Koordinaten ein zeitgestempelter Bewegungsverlauf, der präzise Rückschlüsse auf Wohn- und Arbeitsadressen, Reisegewohnheiten und häufig besuchte Orte ermöglicht.
Zentrale Speicherung ohne Ende-zu-Ende-Verschlüsselung
Die gesammelten Standortdaten werden zentral auf Meta-Servern gespeichert – Teil derselben Infrastruktur, die auch Facebook und Messenger betreibt. Meta gibt nicht genau an, wie lange diese Daten gespeichert werden, sondern verwendet die vage Formulierung “so lange wie nötig” für Dienste, Analysen und kommerzielle Zwecke. Anders als bei sicherheitsorientierten Standortdiensten werden die Informationen nicht durchgehend verschlüsselt.
Diese Zentralisierung macht die Daten zu einem attraktiven Ziel für Cyberkriminelle. Bei einer Sicherheitsverletzung könnten Angreifer nicht nur Benutzerdaten, sondern auch detaillierte Bewegungsprofile von Millionen Nutzern erbeuten. Zudem ermöglicht die Integration in Metas Werbe-Ökosystem eine präzise Zielgruppenansprache – die gleiche Technologie kann aber auch für böswillige Zwecke missbraucht werden.
Physische und digitale Bedrohungen
Die Risiken teilen sich in physische und digitale Gefahren auf. Auf physischer Ebene kann die Standortpreisgabe zu Stalking, Belästigung oder unerwünschten persönlichen Kontakten führen. Angreifer können Bewegungsmuster erkennen und diese für geplante Begegnungen nutzen. Kriminelle verwenden Standort-Tags auch, um Einbrüche zu planen, wenn Bewohner nachweislich nicht zu Hause sind.
Im digitalen Bereich werden Standortdaten zum Profiling-Instrument. Meta kann diese Informationen mit Browser-Verlauf, Kaufdaten und demografischen Informationen verknüpfen, was Möglichkeiten für gezielte Desinformation, Betrug und Phishing schafft. Cyberkriminelle können aus Standortmustern politische Überzeugungen oder Gesundheitszustände ableiten und darauf zugeschnittene, manipulative Inhalte erstellen.
Unterschied zu Apple und Snapchat
Im Vergleich zu Apples “Wo ist?”-Funktion, die Ende-zu-Ende-Verschlüsselung verwendet und ausschließlich für Sicherheitszwecke konzipiert ist, oder Snapchats Snap Map unterscheidet sich Instagrams Friend Map in drei wesentlichen Punkten: Die Integration in Metas gesamtes Ökosystem, der kommerzielle Anreiz zur Datensammlung innerhalb einer werbefinanzierten Plattform und Metas Historie mit Datenverletzungen in den letzten Monaten.
Untergrund-Aktivitäten bereits erkennbar
Bedrohungsanalysten beobachten bereits wenige Tage nach Einführung der Funktion Diskussionen in Untergrundforen über das Reverse Engineering der Instagram-API und Methoden zur Sammlung großer Mengen von Nutzerkoordinaten. Diese Aktivitäten spiegeln bereits bekannte Angriffsmuster von früheren Vorfällen wie dem Strava-Heatmap-Leck wider, das versehentlich Militäranlagen preisgab.
Schutzmaßnahmen für Nutzer
Check Point empfiehlt mehrere Schutzmaßnahmen: Die Standortfreigabe sollte unter “Nachrichten → Karte → Einstellungen” auf “Niemand” gesetzt werden. In den Datenschutzeinstellungen des Smartphones sollte der Standortzugriff für Instagram auf “Während der Nutzung der App” beschränkt oder ganz deaktiviert werden. Nutzer sollten regelmäßig ihre Follower-Liste überprüfen und unbekannte Personen entfernen. Eltern können den Familienbereich von Instagram nutzen, um die Standorteinstellungen ihrer Kinder zu überwachen. Falls die Standortfreigabe temporär aktiviert wird, sollte sie anschließend sofort wieder deaktiviert werden.
(lb/CheckPoint)
