IT-Sicherheitsforscher der Uni Wien haben herausgefunden, wie man WhatsApp und Signal hochsensible Informationen entlocken kann – ganz ohne die Verschlüsselung zu knacken
Nicht alle Informationen, die hier verschickt werden, sind sicher verschlüsselt
Montage: der Freitag; Material: Imago Images
Nachrichten bei WhatsApp und Signal sind so gut verschlüsselt, dass außer dem Sender und Empfänger niemand darauf zugreifen kann – nicht einmal Hacker, Regierungen oder die Chat-Dienste selbst. IT-Sicherheitsforscher der Universität Wien haben jedoch herausgefunden, wie Stalker oder Geheimdienste den Messengern dennoch hochsensible Informationen entlocken könnten. Normale Nutzerinnen und Nutzer müssen sich zwar keine Sorgen machen, relevant sind die Erkenntnisse der Forscher aber trotzdem.
„Neben den eigentlichen, sicher verschlüsselten Nachrichten übertragen die Messenger noch weitere Informationen in einem separaten Kommunikationskanal“, erklärt der an der Forschung beteiligte Doktorand Gabriel Gegenhuber. Dazu gehören zum Beispiel der Online-Status oder die Lesebestätigungen, die bei WhatsApp oder Signal als Häkchen zu sehen sind. Außerdem werden sogenannte Delivery Receipts, also Zustellquittungen, verschickt. Die bestätigen dem Sender in Echtzeit, wenn ein Empfangsgerät seine Nachricht korrekt entschlüsselt hat.
Stalker oder Geheimdienste könnten herausfinden, wann jemand heimkommt
In den Delivery Receipts liegt auch das Missbrauchspotential, das die Forschungsgruppe entdeckt hat. Potenzielle Angreifer können sehr viele ‚stille‘ Nachrichten an WhatsApp- oder Signal-User schicken, die zwar Delivery Receipts auslösen, aber dem User nicht in der App angezeigt werden. Dafür müssten sie nicht einmal Kontakt mit ihm haben, sie bräuchten nur dessen Telefonnummer. Wenn die Angreifer über längere Zeit aufzeichnen, wann und mit welcher Verzögerung sie Delivery Receipts bekommen, könnten sie daraus Schlüsse ziehen. Gegenhuber vergleicht verschlüsselte Nachrichten mit zugeklebten Briefen: „Den Inhalt kann niemand lesen. Aber man kann leicht den Briefkasten beobachten und sehen, wann Briefe eingehen. Oder den Postboten dazu bringen, Bescheid zu sagen, wenn er die Post einwirft.“
Beispielsweise lässt sich leicht erkennen, ob die Receipts vom privaten Handy oder Bürorechner kommen, denn die Chat-Dienste nummerieren alle Geräte eines Users einfach durch. Das verrät viel über den Alltag einer Person: Wann ist sie auf Arbeit, wann macht sie Feierabend, wann kommt sie nach Hause? Auch daraus, wie schnell die Receipts ankommen, lassen sich Rückschlüsse ziehen: Eine einminütige Verzögerung oder Latenz könnte etwa bedeuten, dass die Person durch einen Tunnel fährt, eine dreistündige, dass sie im Flugzeug ist. Sehr kleine Latenzabweichungen können außerdem Aufschluss darüber geben, ob ein Gerät aktiv ist oder im Energiesparmodus, oder ob der Bildschirm an oder aus ist.
„Diese Informationen lassen sich zum Beispiel zum Stalking von Ex-Partnern missbrauchen“, erklärt Gegenhuber. Laut Masterstudent Maximilian Günther, der ebenfalls an der Forschung beteiligt war, könnten auch autoritäre Regimes oder Geheimdienste diese Daten nutzen, um Menschen zu verfolgen: Wenn man den Aktivitätszustand eines Geräts beobachte, könne man eine Person genau dann überfallen, wenn das Gerät entsperrt ist. „Wahrscheinlich haben Geheimdienste damit schon gearbeitet, bevor wir dazu ein Paper veröffentlicht haben“, sagt Aljosha Judmayer, Postdoc und auch Teil des Teams. „Spätestens seitdem haben sie es auf jeden Fall auf dem Schirm.“
Forscher arbeiten jetzt mit WhatsApp zusammen, um das Problem zu beheben
Für ihre Experimente haben die Forscher eigens einen Client programmiert, also ein Programm, das sich genauso wie WhatsApp oder Signal verhält. Dann haben sie mit Geräten von verschiedenen Herstellern systematisch durchprobiert, wie das Programm reagiert. Mit ihrer Arbeit wollen die Forscher keinen Aufschrei und auch keine Skandale auslösen, die Technologie für Ende-zu-Ende-Verschlüsselung finden sie nämlich grundsätzlich super. „Aber es ist eben wichtig, dass es lebendige Forschung dazu gibt, die schaut, was aus Angreifersicht möglich ist, um Verbesserungen zu machen“, betont Judmayer.
Ihre Erkenntnisse haben sie bei der IT-Sicherheitsmesse DEFCON vorgestellt und an WhatsApp und Signal weitergeleitet. Signal hat sich nicht zurückgemeldet, aber mit dem Team von WhatsApp ist zwischenzeitlich eine Zusammenarbeit entstanden. Eine Möglichkeit, das Problem zu beheben, wäre, die Delivery Receipts nicht mehr in Echtzeit zuzustellen. Dann wären die Latenzen weniger aussagekräftig.