Anzeige

Security

Populäre mobile Messenger wie von Facebook oder Apps wie WhatsApp geben persönliche Daten über Kontaktermittlungsdienste preis. Diese ermöglichen, Kontakte anhand von Telefonnummern aus dem persönlichen Adressbuch zu finden, wie Forscher der Technischen Universität Darmstadt und Kollegen der Universität Würzburg warnen.

Privatsphäre-Einstellungen checken

Derzeit genutzte Methoden zur Kontaktermittlung bedrohen laut den Experten die Privatsphäre von weit mehr als einer Mrd. Nutzer massiv. Unter Verwendung sehr weniger Ressourcen war das Team in der Lage, praktikable Crawling-Angriffe auf die populären Messenger WhatsApp, Signal und Telegram durchzuführen. Die Experimente zeigen, dass bösartige Nutzer oder Hacker in großem Stil und ohne nennenswerte Einschränkungen sensible Daten sammeln können, indem sie bei Diensten zur Kontaktermittlung zufällige Telefonnummern abfragen.

Für ihre Studie haben die Forscher zehn Prozent aller Mobilfunknummern in den USA für WhatsApp und 100 Prozent für Signal abgefragt. So konnten sie persönliche (Meta-)Daten sammeln, wie sie üblicherweise in den Nutzerprofilen der Messenger gespeichert sind, inklusive Profilbilder, Nutzernamen, Statustexte und die "zuletzt online" verbrachte Zeit. Die analysierten Daten offenbaren auch interessante Statistiken über das Nutzerverhalten. Beispielsweise ändern sehr wenige Nutzende die standardmäßigen Privatsphäre-Einstellungen, die für die meisten Messenger ganz und gar nicht Privatsphäre-freundlich sind.

Auf Angriffsstrategie kommt es an

Laut dem Team hat rund jeder zweite WhatsApp-User allein in den USA ein öffentliches Profilbild und 90 Prozent verfügen über einen öffentlichen Infotext. Interessanterweise verwenden 40 Prozent aller bei Signal Registrierten auch WhatsApp und die Hälfte von diesen hat dort ein öffentliches Profilbild. Solche Daten über die Zeit zu verfolgen, verhilft Angreifenden dabei, genaue Verhaltensmodelle zu erstellen.

Wenn die Daten mit sozialen Netzen und anderen öffentlichen Datenquellen abgeglichen werden, können Dritte auch detaillierte Profile erstellen und beispielsweise für Betrugsmaschen nutzen. Bezüglich Telegram fanden die Forscher heraus, dass der Dienst zur Kontaktermittlung auch sensible Informationen selbst über die Besitzer von Telefonnummern preisgibt, die nicht bei dem Dienst registriert sind.

Welche Infos während der Kontaktermittlung preisgegeben und über Crawling-Angriffe gesammelt werden können, hängt vom Dienstanbieter und den gewählten Privatsphäre-Einstellungen ab. Beispielsweise übertragen WhatsApp und Telegram das komplette Adressbuch der Nutzenden an entsprechende Server. Privatsphäre-schützende Messenger wie Signal übertragen nur kurze kryptographische Hashwerte von Telefonnummern oder verlassen sich auf vertrauenswürdige Hardware.

Die Teams zeigen jedoch, dass es mithilfe neuer und optimierter Angriffsstrategien dennoch möglich ist, in von Millisekunden von den Hashwerten auf die zugehörigen Telefonnummern zurückzuschließen. Noch gravierender, da es keine nennenswerten Hürden für die Registrierung bei solchen Messengern gibt, ist dies: Dritte können eine große Anzahl an Accounts erstellen und die Nutzerdatenbanken eines Messengers nach Informationen durchforsten, indem Daten für zufällige Telefonnummern abgefragt werden.

www.pressetext.com


Artikel zu diesem Thema

Malware
Sep 15, 2020

Fileless Malware: Meister der Tarnung

Für Cyberkriminelle ist Fileless Malware ein beliebtes Mittel, um unbemerkt Systeme zu…

Weitere Artikel

Handschlag

Jamf beabsichtigt Übernahme des Cloud-Security-Anbieters Wandera

Jamf, die Standardlösung für Apple Enterprise Management, will mit Wandera einen Anbieter von Unified Cloud Security für mobile Geräte übernehmen.
Klimaschutz

Bitkom zur Novelle des Bundes-Klimaschutzgesetzes

Das Bundeskabinett hat an diesem Mittwoch den Entwurf für das neue Klimaschutzgesetz beschlossen. Dazu erklärt Bitkom-Präsident Achim Berg:
Amazon

Amazon: EU-Gericht urteilt zu strittigen Steuervergünstigungen

Update 12.05.21, 12:23 Der Online-Händler Amazon hat nach einem Urteil des EU-Gerichts nicht von unerlaubten Steuervorteilen in Luxemburg profitiert.
Hacker

Hackerangriff auf Radiosenderkette Energy

Die private Radiosenderkette Energy ist Opfer eines Hackerangriffs geworden. Seit Dienstagabend kann deshalb das lokale Radioprogramm Energy Hamburg nicht ausgestrahlt werden, wie ein Sprecher der Radio NRJ GmbH mit Hauptsitz in Berlin am Mittwoch sagte.
Wirtschaftswachstum

CEOs rechnen in den nächsten zwei Jahren überwiegend mit Wirtschaftsboom

Laut einer aktuellen Studie des Research- und Beratungsunternehmens Gartner erwarten 60 % der CEOs und leitenden Angestellten in den Jahren 2021 und 2022 einen Wirtschaftsboom, 40 % eine Stagnation.
Cybercrime

7,9 Prozent mehr Cybercrime-Delikte im Jahr 2020

Das Bundeskriminalamt (BKA) hat 2020 7,9 Prozent mehr Fälle von Internetkriminalität registriert als im Vorjahr.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.