Das wissen Signal und WhatsApp über dich

Viele Menschen entscheiden sich für Signal als Messenger Dienst, weil er durch die Ende-zu-Ende-Verschlüsselung als relativ sicher gilt. Auch WhatsApp nutzt diese Art der Verschlüsselung, um die Privatsphäre der Nutzerinnen und Nutzer zu schützen. 

2 österreichische Sicherheitsforscher zeigten aber auf der IT-Sicherheitsmesse DEFCON 2025, was die Messengerdienste wirklich über uns wissen, wie heise berichtet. Die Forschungsergebnisse haben sie in dieser Studie zusammengefasst. 

Inhalte nicht einsehbar 

Ende-zu-Ende-Verschlüsselung bedeutet, dass Nachrichten verschlüsselt werden, wenn sie vom Sender zum Empfänger verschickt werden. Inhalte können so in der Regel nicht eingesehen werden. 

Dadurch wird die Privatsphäre durch die Plattformen besser geschützt. Andere Informationen könne man laut den Sicherheitsforschern aber sehr wohl mit etwas Aufwand sammeln. 

Zustellbestätigungen als Hinweisgeber 

Zustellbestätigungen laufen im Hintergrund der Messengerdienste und sind eher technische Bestätigungen. Sie sind also nicht das Gleiche wie Lesebestätigungen, wie es sie bei WhatsApp beispielsweise mit den 2 blauen Hacken gibt. Diese kann man bekannterweise auch deaktivieren. Die Zustellbestätigungen hingegen kann man nicht deaktivieren. Sie geben Auskunft darüber, ob eine Nachricht beim Empfängergerät angekommen ist oder nicht. Würde es diese Bestätigungen nicht geben, weiß der Server nicht, ob die Nachricht zugestellt wurde und würde ständig versuchen, sie zu senden. 

Diese Zustellbestätigungen liefern aber auch noch weitere Informationen. Wenn es zum Beispiel sehr lange dauert, bis die Bestätigung kommt, ist das Smartphone offline. Auch wenn es nur ein paar Sekunden Unterschied sind, können sie etwas über die Benutzerin oder den Benutzer verraten. Am schnellsten kommt eine Zustellbestätigung beispielsweise, wenn die App geöffnet ist. Länger dauert es, wenn der Bildschirm inaktiv ist. 

Unterschiede in der Geschwindigkeit der Zustellbestätigung gibt es auch je nach Smartphone. Aber auch die Verbindungsmethode, also ob WLAN oder Mobilfunk genutzt wird, verändert die Geschwindigkeit, mit der die Bestätigung ankommt. Außerdem verschicken die Apps die Bestätigung je nach Gerät nicht gleich. Auf das Smartphone wird jede Bestätigung einzeln übermittelt, am Computer werden mehrere gleichzeitig verschickt. Bei WhatsApp am Macbook kommt die zuletzt verschickte Zustellbestätigung zuerst an. Angreifer können mit diesen Informationen also zum Beispiel herausfinden, welches Gerät man nutzt oder ob man im WLAN ist. 

Den Aufenthaltsort herausfinden 

Legen es Angreifer darauf an, können sie mit eigenen Computern und Handys Tests durchführen, die verraten, wie schnell eine Zustellbestätigung kommt. So können sie Datenbanken anlegen, die dazu dienen, sie mit den von den Angriffszielen gewonnenen Daten zu vergleichen. 

Die Angreifer können so herausfinden, von welchem Gerät aus das WhatsApp- oder Signalkonto genutzt wird. Auch der Zustand, in dem sie sich befinden, lasse Rückschlüsse auf sensible Informationen zu. Ist ein Gerät, wie ein Computer, beispielsweise immer zwischen 9 und 17 Uhr online, kann durch die Zustellbestätigungen herausgefunden werden, dass man sich im Büro befindet. Ist der Computer nur abends oder am Wochenende aktiv, handelt es sich wahrscheinlich um ein privates Gerät und man kann daraus schließen, dass sich die Benutzerin oder der Benutzer zu Hause befindet. 

➤ Mehr lesen: 7 Tipps, mit denen ihr Signal sicherer macht

Zusätzliche Geräte 

Auch mit wie vielen Geräten ein WhatsApp- oder Signalkonto verbunden ist, können Angreifer durch die Metadaten herausfinden. Denn die Server von WhatsApp und Signal vergeben dafür Nummern. 

Das Gerät, mit dem das Konto am häufigsten genutzt wird, bekommt beispielsweise die Nummer 1 zugeordnet. Die Nummern 2, 3 oder 4 werden dann an zusätzlich genutzte Geräte vergeben. 

➤ Mehr lesen: WhatsApp für Windows verbraucht künftig mehr System-Ressourcen

Eine versteckte Flut an Nachrichten 

Damit die Angreifer diese Informationen erhalten, braucht es mehrere Zustellbestätigungen. Hier würde man sich wahrscheinlich denken, dass Angegriffene misstrauisch werden, wenn sie von einer Nachrichtenflut überrollt werden. Das Problem ist allerdings, dass sie das gar nicht mitbekommen müssen. 

Denn es ist möglich, spezielle Nachrichten zu versenden, wodurch es zwar zu Zustellbestätigungen kommt. Diese Art von Nachricht wird am Endgerät aber nicht angezeigt. Alles, was der Angreifer oder die Angreiferin dafür benötigt, ist die Nummer oder den Benutzernamen, mit dem das Signal- oder WhatsApp-Konto verbunden ist. 

Die Forscher haben auch herausgefunden, dass durch diese Nachrichtenflut gezielt der Akku geleert oder das Datenkontingent verbraucht werden kann. Bei Signal gibt es aber eine Begrenzung, wodurch so eine Nachricht nur alle 2 Sekunden versandt werden kann. Diese gibt es bei WhatsApp nicht, wodurch potenzielle Opfer kontinuierlich über einen langen Zeitraum beobachtet werden können. 

➤ Mehr lesen: WhatsApp funktioniert künftig sogar ohne App

Digitales Stalking 

Angreifer können also herausfinden, mit wie vielen Endgeräten ein Konto verbunden ist, welche Art von Geräten genutzt wird, welche Betriebssysteme in Verwendung sind, wann und in welchem Zustand die Geräte sind und gegebenenfalls, wo sie sich befinden. Aber was kann man mit den gewonnenen Informationen wirklich anrichten?

Mit diesen technischen Daten kann man das Nutzungsverhalten und den Aufenthaltsort überwachen, man spricht hier von digitalem Stalking. Außerdem wissen Angreifer und Angreiferinnen dadurch, welche Schadsoftware am besten zu den gesammelten Daten passt. Auch in der Offline-Welt kann es zu Gefahren kommen. Wissen Angreifende, wann das Gerät entsperrt ist, könne es zu körperlichen Übergriffen zu genau diesem Zeitpunkt kommen, was vor allem für Geheimdienste relevant sei. 

"Wir haben nur Zustellbestätigungen ausgelöst, aber da der Absender volle Kontrolle über die Gestaltung der Nachrichten hat, könnte die Methode auch für schwerwiegendere Angriffe genutzt werden, beispielsweise in Richtung Buffer Overflows zwecks Ausführung von Schadcode. Eine Verbesserung wäre zum Beispiel, wenn Whatsapp und Signal Absendern falsch formatierter Nachrichten keine Zustellbestätigungen zukommen ließen", sagt Gegenhuber gegenüber heise.