Yahoo Finanzen Sicherheitslücke bei WhatsApp & Co: Fremde orten Nutzer mit nur einer Nachricht
Mit nur einer verschickten Nachricht ist es Kriminellen möglich, den Standort von Messenger-Nutzern ausfindig zu machen. Betroffen sind Dienste wie WhatsApp, Signal und Threema.
WhatsApp bietet seinen Nutzern zahlreiche Möglichkeiten, Informationen mit Freunden und Bekannten zu teilen. Dazu gehört auch das Teilen des sogenannten Live-Standorts. So können andere einer Gruppe oder im Einzel-Chat den Aufenthaltsort einer Person in Echtzeit verfolgen.
Nutzer, die ihren Live-Standort teilen möchten, müssen dafür den Standortdienst ihres Handys aktivieren, WhatsApp Zugriff darauf gewähren und können auch festlegen, wie lange der Standort geteilt werden soll.
Hohe Genauigkeit bei der Standort-Ermittlung
Diese Einstellungen braucht es nicht, wenn Kriminelle den Standort von Personen über WhatsApp, Threema oder Signal ermitteln wollen, wie Restore Privacy berichtet. Demnach reicht eine einzige von den Tätern verschickte Nachricht, mit der sich anschließend mit rund 80-prozentiger Genauigkeit der Standort von Personen herausfinden lässt.
Was in der Nachricht mitgeteilt wird, spielt dabei keine Rolle, denn es handelt sich dabei um einen speziell entwickelten Timing-Angriff.
Übermittlungszeit ist entscheidend
Wie das funktioniert zeigt eine Bericht von Sicherheitsforschenden aus Deutschland, den Niederlanden, den USA und Abu Dhabi. Das Expertenteam hat herausgefunden, dass Hacker lediglich die Zeit messen müssen, wie lange die Übertragung einer Nachricht braucht, beziehungsweise innerhalb welcher Zeit die Messaging-Dienste zurück senden, dass eine Nachricht beim Empfänger angekommen ist.
Das sei möglich, weil sowohl mobile als auch WLAN-Netze mit ihren Serverstrukturen je nach Standort charakteristische, vorhersagbare Verzögerungen aufweisen würden. Durch das Messen der Verzögerungen kann somit die Position des Nachrichtenempfängers ausfindig gemacht werden. Das gelte nicht nur für das Land, die Stadt oder den Bezirk, sondern sei noch konkreter möglich, etwa ob eine Person sich gerade Zuhause, im Büro oder im Fitnessstudio aufhalte und auch, ob sie ein mobiles Netz oder WLAN nutze.
Timing-Angriffe seien bei allen Messaging-Diensten möglich, die Empfangsbestätigungen versenden, was bei den meisten Apps Standard ist. Basierend auf ihren Experimenten bestimmten die Sicherheitsexperten die Zielgenauigkeit bei Signal mit 82 Prozent, bei Threema mit 80 Prozent und mit 74 Prozent bei WhatsApp. Diese Daten seien alarmierend, so Restore Privacy, gerade im Hinblick darauf, dass Plattformen wie Threema und Signal mit hohen Sicherheitsstandards werben würden.
Das lässt sich dagegen tun
Schließen lasse sich die Sicherheitslücke, indem die Dienste ein System einführen, dass für Zustellbestätigungszeiten sorgt, die zufällig ausgewählt werden. Die Zeitverzögerung müsse dabei lediglich zwischen 1 und 20 Sekunden liegen, um Timing-Angriffe unmöglich zu machen.
Wer sich bis dahin selbst schützen möchte, dem empfiehlt das Portal das Nutzen eines VPN-Dienstes. Mit denen surfen Nutzer anonym sowie sicher und auch die Standortdaten werden somit verschleiert. Voraussetzung dafür sei jedoch, dass der genutzte Messaging-Dienst das VPN-Netz nicht umgeht.
Restore Privacy hat WhatsApp, Threema und Signal bezüglich der Sicherheitslücke kontaktiert. Die Dienste wollen das Problem nun zügig untersuchen und Lösungen dafür finden.
Im Video: WhatsApp Update: Online-Status lässt sich erstmals komplett verbergen
