Immer wieder steht WhatsApp beim Thema Datenschutz in der Kritik. Nun fanden Forscher heraus, dass der Zugriff aufs Adressbuch, der bei einigen Messengern voreingestellt ist, Hackern eine Steilvorlage bieten kann.

Mehr Digitalthemen finden Sie hier

Wer einen Messenger installiert, sollte sofort die Privatssphäre-Einstellungen anpassen - und diese auch regelmässig überprüfen. Das sei ein wichtiger Schutz gegen Angreifer, die sich zunutze machen, dass viele Messenger regelmässig auf das Adressbuch des Smartphones zugreifen. Zu diesem Fazit gelangen Forscherinnen und Forscher der Universität Würzburg und der Technischen Universität Darmstadt in einer Studie.

Bei den untersuchten Messengern Signal und WhatsApp, die aufs Handy-Adressbuch zugreifen und die Einträge regelmässig zum Abgleich auf die Server des Dienstanbieters hochladen, habe sich gezeigt: Hacker können im grossen Stil und ohne nennenswerte Einschränkungen sensible Daten abgreifen. Das funktioniere, indem sie bei den Messengern zur Kontaktermittlung massenhaft zufällige Telefonnummern abfragen (Crawling).

Welche Informationen während des Kontaktabgleichs preisgegeben und über Crawling-Angriffe gesammelt werden können, hängt vom Messenger und den gewählten Privatsphäre-Einstellungen ab. Zu den persönlichen Daten und Metadaten, die im Experiment abrufbar waren, gehören etwa:

  • Profilbilder
  • Nutzernamen
  • Statustexte
  • die zuletzt online verbrachte Zeit.

Beispiel WhatsApp: Über die Einstellungen innerhalb der App lässt sich über "Account/Datenschutz" steuern, wer Informationen wie "Zuletzt online", Profilbild, Info und Status sehen darf.

Messenger reagierten auf Warnung vor Datenklau

Vor Veröffentlichung teilten die Forscher ihre Studienergebnisse den Diensten mit - die Messenger sollen auf die Warnung aus der Studie reagiert haben. WhatsApp habe nach eigenen Angaben die Schutzmassnahmen so verbessert, dass grossangelegte Angriffe künftig erkannt werden sollen, teilen die Forscher mit. Signal habe die Anzahl möglicher Abfragen reduziert, um Crawling zu erschweren. Dennoch empfehlen die Forscher den regelmässigen Check der Einstellungen zur Privatsphäre.

Nutzer können den Zugriff auf das Adressbuch auch über die generellen Einstellungen deaktivieren. Der Nachteil allerdings dabei: In den Chats werden nicht mehr die Namen der Chatpartner angezeigt, sondern nur noch die Telefonnummern. Wer einen neuen Chat mit einem seiner Kontakte beginnen will, muss dafür die entsprechende Telefonnummer eingeben.

Überraschend: Viele Signal-Nutzer nutzen WhatsApp

Für die Studie waren zehn Prozent aller US-Mobilfunknummern für WhatsApp und 100 Prozent für Signal abgefragt worden. Die analysierten Daten hätten auch interessante Statistiken über das Nutzerverhalten offenbart: Rund die Hälfte aller WhatsApp-Nutzer in den USA haben ein öffentliches Profilbild und sogar 90 Prozent einen öffentlichen Infotext.

40 Prozent aller bei Signal registrierten Nutzer verwenden auch WhatsApp - was die Forscher überraschte. Man hatte vermutet, dass mehr Signal-Nutzer auf ihre Privatsphäre bedacht sind. Schliesslich wertet Signal - anders als WhatsApp - keine Metadaten der Messenger-Nutzung aus.

Werden die übers Crawling gewonnenen Daten von Angreifern über längere Zeit verfolgt, liessen sich daraus genaue Verhaltensmodelle erstellen, warnen die Forscher. Und würden diese Daten mit denen aus sozialen Netzwerken und anderen öffentlichen Datenquellen abgeglichen, liessen sich detaillierte Profile erstellen und beispielsweise für Betrugsmaschen nutzen.

Telegram jongliert mit Nicht-Kunden-Nummern

Über den Messenger Telegram fanden die Forscherinnen und Forscher bei einer Untersuchung seiner Programmierschnittstelle (API) zudem heraus, dass der Dienst zur Kontaktermittlung auch sensible Informationen zu Besitzern von Telefonnummern preisgibt, die gar nicht bei dem Messenger registriert sind.

Der Kontaktabgleich zwischen Smartphone-Adressbuch und den Servern des Messenger-Dienstes wird von Sicherheitsforschern und Datenschützern regelmässig kritisiert. Die Messenger-Dienste fürchten aber, ohne diese Komfortfunktion Nutzer zu verlieren. Es wäre nämlich umständlicher, allerdings hinsichtlich Datenschutz unbedenklicher, wenn erwünschte Kontakte einzeln hinzugefügt werden müssten. (af/dpa)

Zeitfresser Smartphone: Die Verführungskunst sozialer Medien

Mehr als 80 Mal am Tag nehmen wir unser Smartphone in die Hand, um zum Beispiel mit Freunden zu chatten oder uns zu informieren. Das Smartphone ist zum grössten Zeitfresser geworden. Mit geschickten Strategien binden die Anwendungen unsere Aufmerksamkeit. © BR
JTI zertifiziert JTI zertifiziert

"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.