Sicherheitslücke Empfangsbestätigungen
WhatsApp und Signal: Messenger-Tracking ohne Spuren
Eine Sicherheitslücke in WhatsApp und Signal erlaubt verstecktes Tracking über Empfangsbestätigungen. Forscher warnen vor unbemerkter Überwachung in Messenger-Diensten.
Laut einer aktuellen Studie könnten sogenannte Delivery Receipts, also Empfangsbestätigungen für Nachrichten, in weit verbreiteten Messengern wie WhatsApp und Signal ausgenutzt werden, um Nutzer gezielt zu überwachen. Die Untersuchung zeigt, dass diese Rückmeldungen, die eigentlich dem Nutzerko...
Laut einer aktuellen Studie könnten sogenannte Delivery Receipts, also Empfangsbestätigungen für Nachrichten, in weit verbreiteten Messengern wie WhatsApp und Signal ausgenutzt werden, um Nutzer gezielt zu überwachen. Die Untersuchung zeigt, dass diese Rückmeldungen, die eigentlich dem Nutzerkomfort dienen, als stiller Kommunikationskanal missbraucht werden können.
Verhalten von Nutzern in Echtzeit auslesbar
Die Analyse offenbart, dass Angreifer durch manipulierte Nachrichtenreaktionen, etwa Emojis oder gelöschte Nachrichten, automatisiert Informationen darüber erhalten könnten, ob das Zielgerät aktiv ist, ob die App im Vordergrund läuft oder ob mehrere Geräte mit dem Account verbunden sind. Dabei ließen sich beispielsweise durch Reaktionszeiten sogar Rückschlüsse auf das Betriebssystem oder den Akkustand ziehen.
Angriffsszenarien auch ohne bisherigen Kontakt möglich
Die Forscher beschreiben zwei denkbare Angriffsmodelle: Beim sogenannten „Creepy Companion“ geht man davon aus, dass bereits ein früherer Nachrichtenkontakt zwischen Angreifer und Ziel existiert. Im Fall des „Spooky Stranger“ reicht es jedoch aus, die Telefonnummer eines Nutzers zu kennen, um ein Tracking in Gang zu setzen; sogar ohne vorherigen Chatverlauf.
Mögliche Folgen: Datenverbrauch, Akkuschwund und unerkannte Ortung
Neben der Überwachung könnten gezielte Angriffe auch den Datenverbrauch oder Akku des Zielgeräts erheblich beeinflussen. Da alle Reaktionen im Hintergrund und ohne Benachrichtigung gesendet werden, bleibt das Opfer in der Regel ahnungslos. Besonders problematisch ist, dass dieser Angriff sogar bei deaktivierten Lesebestätigungen funktioniert.
Verbesserungsvorschläge aus der Forschung
Die Autoren schlagen vor, dass Messenger-Apps Rückmeldungen über Nachrichten nur für bestehende Kontakte zulassen sollten. Zusätzlich könnten künstliche Zeitverzögerungen eingeführt werden, um eine genaue Analyse des Nutzerverhaltens zu erschweren. Auch eine genauere Validierung der Nachrichtenstruktur wäre laut Studie ein möglicher Schutz.
Die vollständige Studie ist unter dem Titel „Careless Whisper: Exploiting Silent Delivery Receipts to Monitor Users on Mobile Instant Messengers“ auf arXiv einsehbar.
