Für diesen Beitrag haben wir alle relevanten Fakten sorgfältig recherchiert. Eine Beeinflussung durch Dritte findet nicht statt.
Zum journalistischen Leitbild von t-online.Forscher decken auf So leicht kommen WhatsApp-Hacker an Ihre Daten
Milliarden Menschen weltweit nutzen WhatsApp – und können dort allerhand private Informationen teilen. Forscher aus Deutschland haben nun gezeigt, wie einfach es für Kriminelle ist, an diese zu kommen.
Wer WhatsApp nutzt und dabei seine Daten und sich selbst schützen will, sollte die Privatsphäre-Einstellungen prüfen. Denn Cyberkriminelle können leicht persönliche Informationen von Nutzern über den Messengerdienst abgreifen. Das zeigt eine aktuelle Untersuchung von Sicherheitsforschern der Universität Würzburg und der TU Darmstadt zu sogenannten Crawling-Angriffen.
In der Studie haben sich die Forscher dabei nicht nur auf WhatsApp beschränkt, sondern auch die Sicherheit der Messengerdienste Signal und Telegram angeschaut. Das Ergebnis: Vor allem WhatsApp und Telegram erlauben in den Standard-Einstellungen, dass Kriminelle leicht an private Nutzerdaten kommen können.
Nummern in den USA abgefragt
Für ihre Untersuchung nutzten die Forscher öffentlich verfügbare Informationen zu Telefonnummern, um etwa 758 Milliarden mögliche Handynummern weltweit zu erstellen. Mithilfe von Tools ließ sich prüfen, welche dieser Nummern tatsächlich existieren. Für die eigentliche Auswertung konzentrierten sich die Wissenschaftler aber auf Messengernutzer in den USA. Der Grund: In den Vereinigten Staaten stehen pro Einwohner 1,5 mögliche Mobilfunknummern zur Verfügung. Das erhöhe die Trefferquote deutlich, wie Thomas Schneider von der TU Darmstadt – einer der Studienverantwortlichen – auf Anfrage von t-online erklärt. In Deutschland sind beispielsweise 6,5 Nummern pro Einwohner möglich.
Durch weitere Tools konnten die Forscher kontrollieren, inwieweit sie bei WhatsApp, Signal und Telegram auf Profilinformationen zugreifen konnten. Bei einem automatisierten Vorgang testeten beispielsweise 25 WhatsApp-Accounts 60.000 Nummern täglich über einen Zeitraum von 34 Tagen. Das Ergebnis: Bei einer zufällig ausgewählten Zahl von 150.000 Nutzern war bei knapp 50 Prozent das Profilbild öffentlich einsehbar. Bei Signal waren es in einer Vergleichsgruppe etwa 46 Prozent.
Bei Telegram konnten die Forscher wegen Beschränkungen des Systems nur 100.000 Nummern in 20 Tagen abfragen. Hier war bei etwa bei 44 Prozent der Nutzer ein Profilbild sichtbar, teilweise konnten auch mehrere Fotos eingesehen werden. Und: Ein bestimmtes Modul in der Programmierschnittstelle erlaubte es sogar, auf Daten von Nutzern zuzugreifen, die nicht bei Telegram angemeldet sind. "Das kann Angreifern helfen, sich wahrscheinlich aktive Nummern zu beschaffen und mit denen andere Plattformen zu durchsuchen", schreiben die Forscher in der Studie.
Warum ein öffentliches Profilbild gefährlich sein kann
Sicherheitsforscher Schneider sagt zu dem Fund: "Wir haben die Fotos nicht geprüft, aber generell können hier sehr heikle Dinge dabei sein: wie Bilder von Kindern oder Fotos mit sexuellen Inhalten – die sicher nicht jeder sehen soll." Zudem seien alle verwendeten Tools allgemein zugänglich, auch wenn sie Programmierkenntnisse erfordern. "Sicherheitsexperten und Cyberkriminellen sind solche Programme aber bekannt und sie können sie auch nutzen", sagt Schneider.
Alternativ können Angreifer auch Nummern raten und bei WhatsApp den Kontakten händisch hinzufügen. Mit etwas Glück existiert der Kontakt tatsächlich und er hat sein Profilbild öffentlich zugänglich gemacht. Dieses Profilbild lässt sich per Suchmaschine beispielsweise auf einen Social-Media-Account zurückverfolgen, wo der betroffene Nutzer persönliche Daten wie die Wohnanschrift, eine E-Mail-Adresse oder den Geburtstag veröffentlicht haben könnte. Mit nur wenigen Klicks können Kriminelle also an allerhand persönliche Daten gelangen. Diese Informationen können sie beispielsweise für Paketbetrug (mehr zu der Masche hier) oder anderen Identitätsdiebstahl nutzen – im schlimmsten Fall mit hohen Kosten für den Nutzer. Mehr dazu lesen Sie hier.
Wie sich Nutzer schützen können
Schneider rät darum Nutzern, ihre Privatsphäre-Einstellungen zu prüfen und gegebenenfalls umzustellen. In WhatsApp unter Android geht das so:
- Öffnen Sie mit einem Klick auf die Punkte oben rechts die "Einstellungen".
- Klicken Sie auf "Account", dann auf "Datenschutz".
- Hier können Sie bestimmen, wer ihre Informationen einsehen kann.
Auf Telegram gehen Sie wie folgt vor:
- Klicken Sie auf die drei Striche oben links und wählen Sie "Einstellungen".
- Klicken Sie nun auf "Privatsphäre und Sicherheit".
- Hier können Sie bestimmen, wer ihre Informationen einsehen kann und beispielsweise auch Zahlungsinfos entfernen oder eine Zwei-Faktor-Authentifizierung einrichten.
Bei Signal sind persönliche Informationen für gewöhnlich nicht voreingestellt sichtbar. Die Datenschutzeinstellungen können Sie aber ebenfalls prüfen:
- Klicken Sie oben rechts auf die drei Punkte.
- Wählen Sie "Einstellungen" und dann "Datenschutz".
- Hier können Sie beispielsweise die Lesebestätigung ausschalten oder eine PIN einrichten, um Ihr Konto vor unbefugtem Zugriff zu schützen.
Auch auf dem Server nicht unbedingt sicher
Neben Identitätsdiebstahl bestehen noch anderen Gefahren durch Crawling-Angriffe, wie die Forscher in der Studie schreiben. So können Nutzer Opfer von Phishing-Anrufen werden oder Angreifer können versuchen, per Chatnachricht Schadsoftware auf das Gerät des Opfers zu schmuggeln, schreiben die Forscher in der Studie.
Zudem weisen die Forscher darauf hin, dass das Hochladen der Kontakte auf die Server von WhatsApp oder Telegram ein Sicherheitsrisiko sein kann. Durch das Hochladen der Kontaktdaten können Nutzer schnell auf die Profile Ihrer Freunde und Bekannten zugreifen. Zwar werden die hochgeladenen Nummern gehasht – also kryptografisch verändert – aber der Hash kann laut der Studie leicht umgangen werden.
Das sei generell nur für Nutzer möglich, die Zugriff auf den Server haben, aber laut Sicherheitsforscher Schneider sei das kein unrealistisches Szenario: "Server solcher Messengerdienste liegen meist in den USA, und da kann ein Geheimdienst wie die NSA bei Bedarf vermutlich darauf zugreifen“, sagt Schneider. Als weitere, mögliche Angreifer nennt die Studie beispielsweise den Serviceprovider oder einen "neugierigen" Administrator.
Die Forscher haben ihre Erkenntnisse den entsprechenden Messengerdiensten mitgeteilt. So hat beispielsweise WhatsApp seine Schutzmaßnahmen geändert, um großangelegte Angriffe zu erkennen. Signal hat die Anzahl möglicher Abfragen reduziert, um Crawling zu erschweren. Auch Telegram hat zusätzliche Gegenmaßnahmen hinzugefügt, sodass im Extremfall nach 20 bis 100 Kontakten die Kontakterkennung gestoppt wird. Facebook belohnte die Forscher zudem mit einem Bug Bounty – eine finanzielle Belohnung fürs Fehler finden – "in nicht unbeachtlicher Summe für einen wohltätigen Zweck", sagt Schneider.
- Preprint der Studie: "All the Numbers are US: Large-scale Abuse of Contact Discovery in Mobile Messengers" (Untersuchung)
- Infoseite zu Mobile Contact Discovery
- Pressemitteilung zur Studie
- Eigene Recherchen