Diese Seite benötigt Javascript! Bitte aktivieren Sie Javascript für eine korrekte Darstellung.

Privatsphäre-Check bei Messengern ist wichtig

15.09.2020 - Viele Nutzerinnen und Nutzer installieren Messenger und chatten gleich los. Ein Fehler, sagen Forscher. Denn wer die Einstellungen nicht anpasst, gibt im Zweifel unfreiwillig Daten preis.

  • Auch wenn im Alltag nicht viel Zeit bleibt: Ein paar Minuten sollte man sich nehmen, um die Privatsphäre-Einstellungen seines Messenger zu prüfen. Foto: Christin Klose/dpa-tmn © dpa - Deutsche Presse-Agentur

    Auch wenn im Alltag nicht viel Zeit bleibt: Ein paar Minuten sollte man sich nehmen, um die Privatsphäre-Einstellungen seines Messenger zu prüfen. Foto: Christin Klose/dpa-tmn © dpa - Deutsche Presse-Agentur GmbH

Bei Messengern sollte man regelmäßig die Privatsphäre-Einstellungen überprüfen und diese vor allem nach Installation einer neuen Chat-App direkt anpassen.

Das sei der effektivste Schutz gegen Angreifer, die den von vielen Messengern genutzten Kontaktabgleich übers Smartphone-Adressbuch missbrauchen. Zu diesem Fazit gelangen Forscherinnen und Forscher der Universität Würzburg und der Technischen Universität Darmstadt in einer Studie.

Bei den untersuchten Messengern Signal und Whatsapp, die aufs Handy-Adressbuch zugreifen und die Einträge regelmäßig zum Abgleich auf die Server des Dienstanbieters hochladen, habe sich gezeigt, dass Hacker im großen Stil und ohne nennenswerte Einschränkungen sensible Daten sammeln könnten. Das funktioniere, indem sie bei den Messengern zur Kontaktermittlung massenhaft zufällige Telefonnummern abfragen (Crawling).

Bilder, Namen, Statustexte erbeutet

Welche Informationen während des Kontaktabgleichs preisgegeben und über Crawling-Angriffe gesammelt werden können, hängt vom Messenger und den gewählten Privatsphäre-Einstellungen ab. Zu den persönlichen Daten und Metadaten, an im Experiment abrufbar waren, gehören etwa Profilbilder, Nutzernamen, Statustexte oder die zuletzt online verbrachte Zeit.

Vor Veröffentlichung haben die Forschenden ihre Studienergebnisse den Diensten mitgeteilt. Whatsapp habe daraufhin nach eigenen Angaben die Schutzmaßnahmen so verbessert, dass großangelegte Angriffe künftig erkannt werden sollen. Und Signal habe die Anzahl möglicher Abfragen reduziert, um Crawling zu erschweren.

Für die Studie waren 10 Prozent aller US-Mobilfunknummern für Whatsapp und 100 Prozent für Signal abgefragt worden. Die analysierten Daten hätten auch interessante Statistiken über das Nutzerverhalten offenbart: Rund 50 Prozent aller Whatsapp-Nutzerinnen und -Nutzer in den USA haben ein öffentliches Profilbild, und sogar 90 Prozent einen öffentlichen Infotext.

Viele Signal-Nutzer haben trotzdem Whatsapp

Und 40 Prozent aller bei Signal registrierten Nutzer verwenden auch Whatsapp - obwohl die Forscherinnen und Forscher vermutet hätten, dass mehr Signal-Nutzer auf ihre Privatsphäre bedacht sind. Schließlich wertet Signal anders als Whatsapp keine Metadaten der Messenger-Nutzung aus.

Werden die übers Crawling gewonnenen Daten von Angreifern über längere Zeit verfolgt, ließen sich daraus genaue Verhaltensmodelle erstellen, warnen die Forscher. Und würden diese Daten mit denen aus sozialen Netzwerken und anderen öffentlichen Datenquellen abgeglichen, ließen sich auch detaillierte Profile erstellen und beispielsweise für Betrugsmaschen nutzen.

Telegram jongliert mit Nicht-Kunden-Nummern

Über den Messenger Telegram fanden die Forscherinnen und Forscher bei einer Untersuchung seiner Programmierschnittstelle (API) zudem heraus, dass der Dienst zur Kontaktermittlung auch sensible Informationen zu Besitzerinnen und Besitzer von Telefonnummern preisgibt, die gar nicht bei dem Messenger registriert sind.

Der Kontaktabgleich zwischen Smartphone-Adressbuch und den Servern des Messenger-Dienstes wird von Sicherheitsforschern und Datenschützern regelmäßig kritisiert. Die Messenger-Dienste fürchten aber, ohne diese Komfortfunktion Nutzerinnen und Nutzer zu verlieren. Sicherer, unter Datenschutzaspekten unbedenklicher, aber auch umständlicher wäre es, wenn erwünschte Kontakte einzeln hinzugefügt werden müssten.

© dpa-infocom, dpa:200915-99-575333/2

Schließen

Aus Sicherheitsgründen werden Sie nach 30 Minuten Inaktivität vom System abgemeldet.

Um das zu verhindern, werden Sie bitte vor Ende dieses Zeitraums wieder aktiv.

Nach erfolgtem Logout können Sie sich erneut anmelden.
Aus Sicherheitsgründen wurden Sie nach 30 Minuten Inaktivität vom System abgemeldet. Bitte loggen Sie sich erneut ein.

Homepage aktualisieren