In der letzten Woche gingen Meldungen über einen italienischen Studenten durch die Presse, der mit Hilfe von Screenshots aus WhatsApp und OCR Erkennung in der Lage war, automatisiert den Online-Status von einzelnen WhatsApp-Nutzern zu protokollieren. Eine Forschergruppe aus Ulm, welche sich schon seit Herbst 2013 mit diesem Thema beschäftigt, hat nun ein Paper veröffentlicht, welches ein noch viel bedrohlicheres Gefahrenszenario aufzeigt und dessen Inhalt die bisherigen Erkenntnisse deutlich übersteigt:
Andreas Buchenscheit und seine Kollegen haben gezeigt, dass der Online-Status für eine beliebige Rufnummer direkt am WhatsApp Server abgegriffen werden kann. Dieser Zugriff ist selbst dann möglich, wenn das sogenannte „zuletzt online“ Feature durch den Benutzer explizit deaktiviert wurde. Die Gruppe entwickelte ein Tool, mit dem es möglich ist, auf diese Weise eine beliebige Anzahl von Personen ohne deren Wissen oder Zustimmung gleichzeitig zu überwachen und lückenlos zu protokollieren, zu welchen Zeiten und wie lange WhatsApp aktiv genutzt wird. Ziel der Forschungsarbeit war jedoch nicht nur, die generelle Möglichkeit dieses Abhörens zu demonstrieren, sondern auch zu zeigen, was für Auswirkungen dies auf die Privatsphäre eines Nutzers haben kann. Diese Auswirkungen sind deutlich weitreichender als bislang angenommen.
Durch eine Studie, bei der der WhatsApp Online-Status von zwei unabhängigen Gruppen mit jeweils 10 Probanden über einen Zeitraum von vier Wochen aufgezeichnet und analysiert wurde, konnten die Ulmer Forscher zeigen, dass sich anhand des Online-Status komplette Nutzungsprofile erstellen lassen. Es wurden Metriken entwickelt, um aus den Daten weitreichende Informationen über den Tagesablauf und die Gewohnheiten einer Person abzuleiten. Zum Beispiel kann festgestellt werden, wann eine Person morgens aufsteht und abends ins Bett geht. Es kann lückenlos protokolliert werden, ob WhatsApp zu unangebrachten oder sogar verbotenen Zeiten genutzt wird (z.B. während der Arbeits- oder Schulzeit). Arbeitgeber könnten Mitarbeiter überwachen und überprüfen, wie lange ihre Mitarbeiter nachts wach sind und somit ob sie fit genug zur Arbeit kommen oder bis 4:30 Uhr eine Party gefeiert haben. Bei einer Testgruppe konnte sogar die Teilnahme der kompletten Gruppe an einer Studentenparty anhand der aufgezeichneten Daten nachgewiesen werden.
Besonders kritisch ist die im Paper vorgestellte Möglichkeit, aus den generierten Nutzungsprofilen ein Kommunikationsmuster abzuleiten. Den Forschern gelang es, mehrere Konversationen zwischen den Probanden zu identifizieren. Diese Technik lässt sich sowohl im privaten Umfeld („Chattet meine Frau mit Person X?“) oder geschäftlichen Umfeld („Ist Mitarbeiter X mit Person Y in Kontakt“) einsetzen, aber auch von Staaten und Regierungen, welche die Kommunikationsaktivitäten und -partner ihrer Bürger aus politischen Gründen überwachen wollen.
Dies zeigt ein grundsätzliches Problem auf, dass sich keineswegs nur auf WhatsApp beschränkt, sondern im Prinzip alle modernen Messenger und Kommunikationssysteme betrifft. Vermeintlich harmlose Metadaten, die sorglos geteilt oder erfasst werden, verraten oft viel mehr über Nutzer, als diese sich vorstellen können. Darum sollten Mechanismen zum Schutz dieser Daten ein grundlegender Bestandteil jedes Systemdesigns sein.
Das am Dienstag veröffentlichte Paper wird im November auf einer internationalen Konferenz im australischen Melbourne vorgestellt (MUM 2014: The International Conference on Mobile and Ubiquitous Multimedia). Die Forschergruppe, die aus Experten für Internet Security der Firma Cortex Media GmbH aus Ulm, sowie aus Wissenschaftlern der Universität Ulm und der Carnegie Mellon University, Pittsburgh, USA besteht, hofft durch die Veröffentlichung der Ergebnisse auf potentielle Auswirkungen der Nutzung von mobilen Chat-Apps aufmerksam machen zu können.
Das Paper zur Studie ist zu finden unter: www.uulm.de/?WhatsAppPrivacy
Was sagt die Presse?
- Pressemitteilung Uni-Ulm
Chatdienst WhatsApp – Lücken beim Datenschutz. Online-Status gewährt Einblicke in das Privatleben - ulm-news.de
Ulmer Forscher weisen weitreichende Auswirkungen der WhatsApp-Sicherheitslücke für Nutzer nach - SWR Landesschau
Chatdienst WhatsApp: Ulmer Forscher entdecken Sicherheitslücke
- FOCUS online
Whatsapp-Stalking leicht gemacht: Software spioniert Privatleben aus - scinexx
WhatsApp verrät Privatleben der Nutzer - derStandard.at
WhatsApp: Sicherheitslücke legt Privatleben der Nutzer offen - Südwest Presse
Benutzer ausgespäht: „WhatsApp“ unsicherer als gedacht - Augsburger Allgemeine
Ulmer Forscher decken Datenschutz-Lücke bei Whatsapp auf
- Hannover Zeitung
WhatsApp – Lücken beim Datenschutz: Online-Status gewährt Einblicke in das Privatleben der Nutzer - crn.de
Messaging-App erlaubt Lauschangriff: Sicherheitslücke bei Whatsapp - golem.de
Was der Online-Status bei Messengern wie Whatsapp verrät - Hessische/Niedersächsische Allgemeine
Was Ulmer Forscher herausfanden: Datenschutzlücke bei WhatsApp schockt Nutzer
- Schwäbische Zeitung
Ulmer decken Lücken bei „Whats App“ auf - Neue Osnabrücker Zeitung
Neue Lücke beim Datenschutz. Online-Status bei WhatsApp gewährt Einblicke in Privatleben - Abendzeitung München
Sicherheitslücke bei Messenger-Dienst. Nur mit Telefonnummer: Stalking bei WhatsApp! - tz München
Was Ulmer Forscher herausfanden. Datenschutzlücke bei WhatsApp schockt Nutzer - Vorarlberg Online
WhatsApp: Online-Status gibt Einblicke in das Privatleben der Nutzer - Handelsblatt
Whatsapp: Was der Status verrät. „Wie ist dein Tag, Schatz?“ - Saarbrücker Zeitung
Ich weiß genau, was du getan hast. Online-Messenger verraten alles über das Privatleben ihrer Nutzer - MEN’S HEALTH
Nachrichten Messenger. Was WhatsApp über Ihr Leben weiß - Stuttgarter Zeitung
Datenschutz. WhatsApp macht das Schnüffeln leicht - Südwest Presse
Wie Ulmer Wissenschaftler eine Datenschutzlücke bei WhatsApp aufdeckten - …