Messaging-App erlaubt Lauschangriff
Sicherheitslücke bei Whatsapp
Eine Sicherheitslücke bei Whatsapp erlaubt es Angreifern, den Onlinestatus fremder Nutzer auszulesen und ihnen so weitreichend nachzuspionieren.
Wissenschaftler der Universität Ulm haben eine neue gravierende Sicherheitslücke bei der von Facebook übernommenen Messaging-Software Whatsapp aufgedeckt. Sie erlaubt es unter anderem, den Onlinestatus beliebiger Nutzer abzufragen und zu protokollieren, sobald man nur deren Mobilfunknummer kennt. Laut den Forschern gelingt dies sogar dann, wenn die betroffenen Nutzer ihre Software so eingestellt haben, dass der Onlinestatus nicht oder als »offline« angezeigt werden soll. Gemeinsam mit seinen Kollegen Professor Frank Kargl und Bastian Könings von der Universität Ulm hat Andreas Buchenscheit von der Hochschule Ulm (Cortex Media GmbH) dazu direkt die Server der weltweit von über einer halben Milliarde Menschen genutzten App angezapft.
Im Laufe der zweiwöchigen Studie mit 19 freiwilligen Teilnehmern konnten sie sogar Metriken entwickeln, mit denen sie aus den Datensammlungen umfassende Nutzungsprofile erstellen konnten. So lässt sich aus Onlinezeiten etwa herauslesen, wann die Nutzer für gewöhnlich aufstehen, wie ihr Tagesablauf ist und zu welchen Zeiten sie auf Whatsapp besonders aktiv sind. Darüber hinaus konnten die Forscher durch den Abgleich mehrerer Datensätze auch detaillierte Kommunikationsprofile einiger Nutzer untereinander erstellen. Auf diese Weise gewonnene Metadaten könnten beispielsweise von Arbeitgebern dazu missbraucht werden um herauszufinden, wie viel Arbeitszeit ihre Mitarbeiter auf Whatsapp verbringen, ob ein kranker Mitarbeiter eine Party oder Veranstaltung besucht, oder ob sie regelmäßig mit Wettbewerbern in Kontakt stehen. Geheimdienste und Regierungen könnten mit Hilfe solcher Profile sogar die Kommunikation ganzer Personengruppen indirekt überwachen und sogar erahnen, wann Treffen der Beobachteten Nutzer stattfinden. Aber auch Einbrecher könnten solche Profile nutzen, um einen optimalen Zeitpunkt für ein ungestörtes Eindringen in fremde Wohnungen zu ermitteln.
Die Wissenschaftler aus Ulm wollen mit dem Experiment nicht nur auf die Sicherheitslücke in Whatsapp hinweisen. Vielmehr geht es ihnen um die oft sowohl von Softwareentwicklern als auch Nutzern unterschätzten Gefahren potentieller Metadatensammlungen. »Metadaten verraten oft mehr über Nutzer, als ihnen bewusst ist. Beim Systemdesign sollte der Datenschutz also immer mitgedacht werden«, fordert deshalb Professor Kargl, Direktor des Instituts für Verteilte Systeme an der Uni Ulm, ein Umdenken bei den Entwicklern.
Lesen Sie mehr zum Thema
