apa.at
news/APA/Mittwoch, 16.09.20, 11:00:33

Ser­vice: Pri­vat­sphä­re-Check bei Mes­sen­gern ist wich­tig

Vie­le Nut­ze­rin­nen und Nut­zer instal­lie­ren Mes­sen­ger und chat­ten gleich los. Ein Feh­ler, sagen For­scher. Denn wer die Ein­stel­lun­gen nicht anpasst, gibt im Zwei­fel unfrei­wil­lig Daten preis.
APA/APA (dpa/gms/Christin Klose)/Christin Klo­se

Bei Mes­sen­gern soll­te man regel­mä­ßig die Pri­vat­sphä­re-Ein­stel­lun­gen über­prü­fen und die­se vor allem nach Instal­la­ti­on einer neu­en Chat-App direkt anpas­sen. Das sei der effek­tivs­te Schutz gegen Angrei­fer, die den von vie­len Mes­sen­gern genutz­ten Kon­takt­ab­gleich übers Smart­pho­ne-Adress­buch miss­brau­chen. Zu die­sem Fazit gelan­gen For­sche­rin­nen und For­scher der Uni­ver­si­tät Würz­burg und der Tech­ni­schen Uni­ver­si­tät Darm­stadt in einer Stu­die.

Bei den unter­such­ten Mes­sen­gern Signal und Whats­app, die aufs Han­dy-Adress­buch zugrei­fen und die Ein­trä­ge regel­mä­ßig zum Abgleich auf die Ser­ver des Dienst­an­bie­ters hoch­la­den, habe sich gezeigt, dass Hacker im gro­ßen Stil und ohne nen­nens­wer­te Ein­schrän­kun­gen sen­si­ble Daten sam­meln könn­ten. Das funk­tio­nie­re, indem sie bei den Mes­sen­gern zur Kon­tak­ter­mitt­lung mas­sen­haft zufäl­li­ge Tele­fon­num­mern abfra­gen (Craw­ling).

Bil­der, Namen, Sta­tus­tex­te erbeu­tet

Wel­che Infor­ma­tio­nen wäh­rend des Kon­takt­ab­gleichs preis­ge­ge­ben und über Craw­ling-Angrif­fe gesam­melt wer­den kön­nen, hängt vom Mes­sen­ger und den gewähl­ten Pri­vat­sphä­re-Ein­stel­lun­gen ab. Zu den per­sön­li­chen Daten und Meta­da­ten, an im Expe­ri­ment abruf­bar waren, gehö­ren etwa Pro­fil­bil­der, Nut­zer­na­men, Sta­tus­tex­te oder die zuletzt online ver­brach­te Zeit.

Vor Ver­öf­fent­li­chung haben die For­schen­den ihre Stu­di­en­ergeb­nis­se den Diens­ten mit­ge­teilt. Whats­app habe dar­auf­hin nach eige­nen Anga­ben die Schutz­maß­nah­men so ver­bes­sert, dass groß­an­ge­leg­te Angrif­fe künf­tig erkannt wer­den sol­len. Und Signal habe die Anzahl mög­li­cher Abfra­gen redu­ziert, um Craw­ling zu erschwe­ren.

Für die Stu­die waren 10 Pro­zent aller US-Mobil­funk­num­mern für Whats­app und 100 Pro­zent für Signal abge­fragt wor­den. Die ana­ly­sier­ten Daten hät­ten auch inter­es­san­te Sta­tis­ti­ken über das Nut­zer­ver­hal­ten offen­bart: Rund 50 Pro­zent aller Whats­app-Nut­ze­rin­nen und ‑Nut­zer in den USA haben ein öffent­li­ches Pro­fil­bild, und sogar 90 Pro­zent einen öffent­li­chen Info­text.

Vie­le Signal-Nut­zer haben trotz­dem Whats­app

Und 40 Pro­zent aller bei Signal regis­trier­ten Nut­zer ver­wen­den auch Whats­app – obwohl die For­sche­rin­nen und For­scher ver­mu­tet hät­ten, dass mehr Signal-Nut­zer auf ihre Pri­vat­sphä­re bedacht sind. Schließ­lich wer­tet Signal anders als Whats­app kei­ne Meta­da­ten der Mes­sen­ger-Nut­zung aus.

Wer­den die übers Craw­ling gewon­ne­nen Daten von Angrei­fern über län­ge­re Zeit ver­folgt, lie­ßen sich dar­aus genaue Ver­hal­tens­mo­del­le erstel­len, war­nen die For­scher. Und wür­den die­se Daten mit denen aus sozia­len Netz­wer­ken und ande­ren öffent­li­chen Daten­quel­len abge­gli­chen, lie­ßen sich auch detail­lier­te Pro­fi­le erstel­len und bei­spiels­wei­se für Betrugs­ma­schen nut­zen.

Tele­gram jon­gliert mit Nicht-Kun­den-Num­mern

Über den Mes­sen­ger Tele­gram fan­den die For­sche­rin­nen und For­scher bei einer Unter­su­chung sei­ner Pro­gram­mier­schnitt­stel­le (API) zudem her­aus, dass der Dienst zur Kon­tak­ter­mitt­lung auch sen­si­ble Infor­ma­tio­nen zu Besit­ze­rin­nen und Besit­zer von Tele­fon­num­mern preis­gibt, die gar nicht bei dem Mes­sen­ger regis­triert sind.

Der Kon­takt­ab­gleich zwi­schen Smart­pho­ne-Adress­buch und den Ser­vern des Mes­sen­ger-Diens­tes wird von Sicher­heits­for­schern und Daten­schüt­zern regel­mä­ßig kri­ti­siert. Die Mes­sen­ger-Diens­te fürch­ten aber, ohne die­se Kom­fort­funk­ti­on Nut­ze­rin­nen und Nut­zer zu ver­lie­ren. Siche­rer, unter Daten­schutz­aspek­ten unbe­denk­li­cher, aber auch umständ­li­cher wäre es, wenn erwünsch­te Kon­tak­te ein­zeln hin­zu­ge­fügt wer­den müss­ten.

Privatsphäre-Check bei Messengern ist wichtig

Etwas Zeit sollte man sich nehmen, um die Privatsphäre-Einstellungen zu prüfen

Credit: APA/APA (dpa/gms/Christin Klose)/Christin Klose