Immer wieder geraten Messenger-Dienste in die Kritik, wenn es um den Schutz von Nutzer-Daten geht. Nun berichtet ein Forscherteam aus Mitgliedern der Technischen Universität Darmstadt (TU) und der Universität Würzburg, dass die Methoden zur Kontaktermittlung in den Adressbüchern der App-Nutzer „unter Verwendung weniger Ressourcen“ relativ leicht angreifbar seien, wie die TU mitteilt. Das Team sei in der Lage gewesen, praktikable Angriffe auf die populären Messenger WhatsApp, Signal und Telegram zu initiieren. Die gute Nachricht: WhatsApp und Signal hätten auf die Erkenntnisse der Forscher inzwischen reagiert und ihre Vorkehrungen verbessert, heißt es weiter.

Nutzer, die einen mobilen Messenger auf ihrem Smartphone installiert haben, mit dem sich unter anderem Videos, Textnachrichten und Bilder verschicken lassen, können den Messenger mit ihrem digitalen Adressbuch interagieren lassen. Dazu muss der Messenger-App die Erlaubnis erteilt werden, auf das Adressbuch zugreifen zu dürfen und die dort hinterlegten Kontakte auf die Server des Diensteanbieters hochzuladen. Dort werden sie mit schon hinterlegten Daten verglichen, sodass der Nutzer angezeigt bekommt, wer den von ihm installierten Messenger ebenfalls verwendet.

Persönliche Meta-Daten gesammelt

Um zu ihren Erkenntnissen zu gelangen, hätten die Forscher zunächst zehn Prozent aller Mobilrufnummern in den Vereinigten Staaten auf WhatsApp-Kontakte und auf Signal hin abgefragt. Dadurch konnten sie persönliche Meta-Daten sammeln, wie sie üblicherweise in den Nutzerprofilen der Anbieter hinterlegt sind. Darunter waren Profilbilder, Nutzernamen und die zuletzt online verbrachte Zeit der Verwender. Die Experimente hätten gezeigt, dass in großem Stil und ohne nennenswerte Einschränkungen sensible Daten gesammelt werden könnten, indem bei Diensten zufällig gewählte Telefonnummern abgefragt würden.

Die von den deutschen Forschern analysierten Daten offenbarten demnach auch Details zum Nutzerverhalten. Würden Angreifer solche Daten eine Zeitlang verfolgen, könnten sie genaue Verhaltensmodelle erstellen und womöglich detaillierte Profile erstellen, die sich für Betrugsmaschen nutzen ließen. Beim Messenger Telegram hätten das Team festgestellt, dass er zur Kontaktermittlung sensible Informationen selbst über solche Telefonnummern preisgibt, die gar nicht bei dem Dienst registriert sind.

Das komplette Adressbuch übertragen

Welche Informationen genau während der Kontaktermittlung preisgegeben und dadurch auch gesammelt werden können, hänge laut Untersuchung vom jeweiligen Dienstanbieter und den gewählten Privatsphäre-Einstellungen ab. WhatsApp und Telegram etwa übertrügen das komplette Adressbuch der Nutzer an ihre Server. Privatsphäre-schützende Messenger wie Signal dagegen übermittelten lediglich kurze kryptographische Hashwerte von Telefonnummern.

Allerdings sei es mit Hilfe optimierter Angriffsstrategien möglich gewesen, innerhalb von Millisekunden von diesen Hashwerten auf zugehörige Telefonnummern zu schließen, teilte die TU weiter mit. Trotz all dieser sehr theoretisch klingenden Versuche raten die Tester Messenger-Nutzern jedoch „dringend, sämtliche Privatsphäre-Einstellungen zu überprüfen“.

Dies sei derzeit der effektivste Schutz gegen sogenannte Crawling-Angriffe, so die an der Untersuchung beteiligten Wissenschaftler Alexandra Dmitrienko von der Universität Würzburg und Thomas Schneider von der TU Darmstadt. Sämtliche Ergebnisse seien in dem Papier „All the Numbers are US: Large-scale Abuse of Contact Discovery in Mobile Messengers“ beschrieben, das im Februar 2021 auf dem 28. Annual Network and Distributed System Security Symposium präsentiert wird, einer Konferenz für IT-Sicherheit.