Immer wieder steht WhatsApp beim Thema Datenschutz in der Kritik. Nun fanden Forscher heraus, dass der Zugriff aufs Adressbuch, der bei einigen Messengern voreingestellt ist, Hackern eine Steilvorlage bieten kann.
Wer einen Messenger installiert, sollte sofort die Privatssphäre-Einstellungen anpassen - und diese auch regelmäßig überprüfen. Das sei ein wichtiger Schutz gegen Angreifer, die sich zunutze machen, dass viele Messenger regelmäßig auf das Adressbuch des Smartphones zugreifen. Zu diesem Fazit gelangen Forscherinnen und Forscher der Universität Würzburg und der Technischen Universität Darmstadt in einer Studie.
Bei den untersuchten Messengern Signal und WhatsApp, die aufs Handy-Adressbuch zugreifen und die Einträge regelmäßig zum Abgleich auf die Server des Dienstanbieters hochladen, habe sich gezeigt: Hacker können im großen Stil und ohne nennenswerte Einschränkungen sensible Daten abgreifen. Das funktioniere, indem sie bei den Messengern zur Kontaktermittlung massenhaft zufällige Telefonnummern abfragen (Crawling).
Welche Informationen während des Kontaktabgleichs preisgegeben und über Crawling-Angriffe gesammelt werden können, hängt vom Messenger und den gewählten Privatsphäre-Einstellungen ab. Zu den persönlichen Daten und Metadaten, die im Experiment abrufbar waren, gehören etwa:
- Profilbilder
- Nutzernamen
- Statustexte
- die zuletzt online verbrachte Zeit.
Beispiel WhatsApp: Über die Einstellungen innerhalb der App lässt sich über "Account/Datenschutz" steuern, wer Informationen wie "Zuletzt online", Profilbild, Info und Status sehen darf.
Messenger reagierten auf Warnung vor Datenklau
Vor Veröffentlichung teilten die Forscher ihre Studienergebnisse den Diensten mit - die Messenger sollen auf die Warnung aus der Studie reagiert haben. WhatsApp habe nach eigenen Angaben die Schutzmaßnahmen so verbessert, dass großangelegte Angriffe künftig erkannt werden sollen, teilen die Forscher mit. Signal habe die Anzahl möglicher Abfragen reduziert, um Crawling zu erschweren. Dennoch empfehlen die Forscher den regelmäßigen Check der Einstellungen zur Privatsphäre.
Nutzer können den Zugriff auf das Adressbuch auch über die generellen Einstellungen deaktivieren. Der Nachteil allerdings dabei: In den Chats werden nicht mehr die Namen der Chatpartner angezeigt, sondern nur noch die Telefonnummern. Wer einen neuen Chat mit einem seiner Kontakte beginnen will, muss dafür die entsprechende Telefonnummer eingeben.
Überraschend: Viele Signal-Nutzer nutzen WhatsApp
Für die Studie waren zehn Prozent aller US-Mobilfunknummern für WhatsApp und 100 Prozent für Signal abgefragt worden. Die analysierten Daten hätten auch interessante Statistiken über das Nutzerverhalten offenbart: Rund die Hälfte aller WhatsApp-Nutzer in den USA haben ein öffentliches Profilbild und sogar 90 Prozent einen öffentlichen Infotext.
40 Prozent aller bei Signal registrierten Nutzer verwenden auch WhatsApp - was die Forscher überraschte. Man hatte vermutet, dass mehr Signal-Nutzer auf ihre Privatsphäre bedacht sind. Schließlich wertet Signal - anders als WhatsApp - keine Metadaten der Messenger-Nutzung aus.
Werden die übers Crawling gewonnenen Daten von Angreifern über längere Zeit verfolgt, ließen sich daraus genaue Verhaltensmodelle erstellen, warnen die Forscher. Und würden diese Daten mit denen aus sozialen Netzwerken und anderen öffentlichen Datenquellen abgeglichen, ließen sich detaillierte Profile erstellen und beispielsweise für Betrugsmaschen nutzen.
Telegram jongliert mit Nicht-Kunden-Nummern
Über den Messenger Telegram fanden die Forscherinnen und Forscher bei einer Untersuchung seiner Programmierschnittstelle (API) zudem heraus, dass der Dienst zur Kontaktermittlung auch sensible Informationen zu Besitzern von Telefonnummern preisgibt, die gar nicht bei dem Messenger registriert sind.
Der Kontaktabgleich zwischen Smartphone-Adressbuch und den Servern des Messenger-Dienstes wird von Sicherheitsforschern und Datenschützern regelmäßig kritisiert. Die Messenger-Dienste fürchten aber, ohne diese Komfortfunktion Nutzer zu verlieren. Es wäre nämlich umständlicher, allerdings hinsichtlich Datenschutz unbedenklicher, wenn erwünschte Kontakte einzeln hinzugefügt werden müssten. (af/dpa)
Zeitfresser Smartphone: Die Verführungskunst sozialer Medien
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.