Silhouettes of mobile users are seen next to logos of social media apps Signal, Whatsapp and Telegram projected on a screen in this picture illustration

© REUTERS / DADO RUVIC

Digital Life
09/17/2020

Warnung vor WhatsApp, Telegram und Signal

Sicherheitsforscher schlagen Alarm: Der Zugriff von Messenger-Diensten auf das eigene Telefonbuch ist mehr als problematisch.

von Martin Stepanek

Sicherheitsforscher haben beliebte Messenger-Dienste wie WhatsApp, Telegram und Signal unter die Lupe genommen und sind zu alarmierenden Erkenntnissen gekommen. Der Untersuchung der Wissenschaftler der TU Darmstadt, TU Graz und Universität Würzburg zufolge gefährdet die Art und Weise, wie die Dienste das Adressbuch ihrer User auf ihre Server lädt, Milliarden von Menschen - darunter selbst diese, die keinen der besagten Messenger-Dienste installiert haben.

Zugriff auf Kontaktdaten

Die auch von anderen Datenschutzexperten kritisierte Schwachstelle ist der Zugriff auf das eigene Telefonbuch, in dem sämtliche persönliche Kontakte und deren Telefonnummern gespeichert sind. So ist es möglich, andere WhatsApp-, Telegram- oder Signal-User zu kontaktieren, ohne deren Usernamen zu kennen. Angreifer können über eine Datenbankabfrage einer Telefonnummer so aber viele Informationen über Nutzer erfahren und durch die Kombination mit anderen öffentlichen Informationen ein Profil der Person erstellen.

Da die auf die Server der Messenger-Betreiber hochgeladenen Kontakte nicht oder ungenügend verschlüsselt hochgeladen werden, könne ein Angreifer über die Abfrage einer Telefonnummer schnell weitere sensible Daten zusammentragen - etwa das öffentliche Profilbild, wann die Person online ist, aber auch welche Kontakte sie gespeichert hat.

FILES-US-SECURITIES-BUSINESS-CRYPTOCURRENCY-TELEGRAM

Über den Abgleich mit anderen sozialen Plattformen wie Facebook kann man so über eine wildfremde Person quasi ein Dossier mit sensiblen Informationen und dies für einen gefinkelten Phishing- oder Hackerangriff nutzen. Auch persönliche Verbindungen, aber auch geographische Zugehörigkeiten können so leicht bestimmt werden.

Auch Nicht-User betroffen

Den Forschern zufolge betrifft das Problem alle Messenger-Dienste. Zwar unternehme Signal zumindest die Anstrengung Telefonnummern mittels Hashwerten und folglich weniger leicht einsehbar zu übermitteln. Über Reverse Engineering seien aber auch bei Signal Telefonnummern rückführbar. Eine besonders schlechte Wertung bekommt Telegram. Die Schnittstelle der App habe eine Reihe sensibler Informationen geliefert, selbst über Telefonnummern, die gar nicht bei Telegram registriert waren.

Die Messengerdienste wurden von den Sicherheitsforschern über ihre Erkenntnisse informiert. Teilweise haben sie bereits mit Gegenmaßnahmen reagiert, die das systematische Abgreifen von Datenbankinformationen im großen Stil erkennen und unterbinden soll. Usern empfehlen die Forscher, nicht ihr Gesicht beim öffentlichen Profilbild zu verwenden und sämtliche Privatsphären-Einstellungen auf restriktiv zu stellen.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.