Studie Privatsphäre-Check bei Messengern ist wichtig
Darmstadt (dpa/tmn) - Bei Messengern sollte man regelmäßig die Privatsphäre-Einstellungen überprüfen und diese vor allem nach Installation einer neuen Chat-App direkt anpassen.
Das sei der effektivste Schutz gegen Angreifer, die den von vielen Messengern genutzten Kontaktabgleich übers Smartphone-Adressbuch missbrauchen. Zu diesem Fazit gelangen Forscherinnen und Forscher der Universität Würzburg und der Technischen Universität Darmstadt in einer Studie.
Bei den untersuchten Messengern Signal und Whatsapp, die aufs Handy-Adressbuch zugreifen und die Einträge regelmäßig zum Abgleich auf die Server des Dienstanbieters hochladen, habe sich gezeigt, dass Hacker im großen Stil und ohne nennenswerte Einschränkungen sensible Daten sammeln könnten. Das funktioniere, indem sie bei den Messengern zur Kontaktermittlung massenhaft zufällige Telefonnummern abfragen (Crawling).
Bilder, Namen, Statustexte erbeutet
Welche Informationen während des Kontaktabgleichs preisgegeben und über Crawling-Angriffe gesammelt werden können, hängt vom Messenger und den gewählten Privatsphäre-Einstellungen ab. Zu den persönlichen Daten und Metadaten, an im Experiment abrufbar waren, gehören etwa Profilbilder, Nutzernamen, Statustexte oder die zuletzt online verbrachte Zeit.
Vor Veröffentlichung haben die Forschenden ihreStudienergebnisseden Diensten mitgeteilt. Whatsapp habe daraufhin nach eigenen Angaben die Schutzmaßnahmen so verbessert, dass großangelegte Angriffe künftig erkannt werden sollen. Und Signal habe die Anzahl möglicher Abfragen reduziert, um Crawling zu erschweren.
Für die Studie waren 10 Prozent aller US-Mobilfunknummern für Whatsapp und 100 Prozent für Signal abgefragt worden. Die analysierten Daten hätten auch interessante Statistiken über das Nutzerverhalten offenbart: Rund 50 Prozent aller Whatsapp-Nutzerinnen und -Nutzer in den USA haben ein öffentliches Profilbild, und sogar 90 Prozent einen öffentlichen Infotext.
Viele Signal-Nutzer haben trotzdem Whatsapp
Und 40 Prozent aller bei Signal registrierten Nutzer verwenden auch Whatsapp - obwohl die Forscherinnen und Forscher vermutet hätten, dass mehr Signal-Nutzer auf ihre Privatsphäre bedacht sind. Schließlich wertet Signal anders als Whatsapp keine Metadaten der Messenger-Nutzung aus.
Werden die übers Crawling gewonnenen Daten von Angreifern über längere Zeit verfolgt, ließen sich daraus genaue Verhaltensmodelle erstellen, warnen die Forscher. Und würden diese Daten mit denen aus sozialen Netzwerken und anderen öffentlichen Datenquellen abgeglichen, ließen sich auch detaillierte Profile erstellen und beispielsweise für Betrugsmaschen nutzen.
Telegram jongliert mit Nicht-Kunden-Nummern
Über den Messenger Telegram fanden die Forscherinnen und Forscher bei einer Untersuchung seiner Programmierschnittstelle (API) zudem heraus, dass der Dienst zur Kontaktermittlung auch sensible Informationen zu Besitzerinnen und Besitzer von Telefonnummern preisgibt, die gar nicht bei dem Messenger registriert sind.
Der Kontaktabgleich zwischen Smartphone-Adressbuch und den Servern des Messenger-Dienstes wird von Sicherheitsforschern und Datenschützern regelmäßig kritisiert. Die Messenger-Dienste fürchten aber, ohne diese Komfortfunktion Nutzerinnen und Nutzer zu verlieren. Sicherer, unter Datenschutzaspekten unbedenklicher, aber auch umständlicher wäre es, wenn erwünschte Kontakte einzeln hinzugefügt werden müssten.