Gläserne Texter

Digitalisierung ist, wenn Informatiker zu Informanten werden. Kommunikation im Zeitalter von Meta, Google und Apple bedeutet immer auch nonverbale Preisgabe. Gewiss sitzt am anderen Ende kein einsamer Mensch mit Kopfhörern, Bleistift und Block wie seinerzeit in der analogen Epoche. Die Datenerfassung ist immens, infolgedessen anonym und standardisiert. Dennoch können ­Social-Media-Plattformen gehackt, sensible Daten von Nutzern im Internet sichtbar werden oder im Darknet landen. Das hat eine Forschungsgruppe um Gabriel Gegenhuber von der Universität Wien demonstriert. Die Informatiker deckten eine beträchtliche Sicherheitslücke im Messengerdienst Whats-App auf.

Whats-App speichert Telefonnummern und weitere Metadaten seiner Kunden. Was den Vorteil hat, dass man nicht mehr als einen Handykontakt benötigt, um den Kontakt auch via Messenger herzustellen. Selbst dann aber, wenn die Metadaten unvollständig und anonymisiert sind, lässt sich bei Kombination der verschiedenen Datensätze ein Profil erstellen, das Informationen über Gewohnheiten, Aktivitäten und Kontaktnetzwerke preisgibt. Vermittels einer manipulierten Schnittstelle zu Whats-App ist es den Wiener Forschern gelungen, innerhalb kurzer Zeit die Daten von Milliarden Nutzern abzufragen: Telefonnummern, öffentliche Schlüssel, Zeitstempel, Profilbilder und About-Texte. Durch diese Eckdaten ließen sich weitere Metadaten zu Alter, Betriebs­system oder weiteren Geräten im Haushalt der betreffenden Kunden ermitteln.

Die Schwachstelle ist der »Contact Discovery Mechanismus«, durch den Whats-App nach dem passenden Nutzer sucht, wenn eine Telefonnummer den Kontakten hinzugefügt wurde. »Wir haben angenommen, dass unsere Anfragen, die immer von derselben IP-Adresse und denselben fünf Accounts kamen, sehr schnell eingeschränkt und blockiert werden«, schreiben die Forscher. Eine hohe Zahl von Anfragen, nämlich in kurzer Zeit von einer oder wenigen Quellen, ist ein Indiz für Hacking. »Zu unserer Überraschung wurden weder unsere IP-Adresse noch unsere Konten« blockiert, schreiben die Forscher. »Wir konnten quasi unbegrenzte Anfragen an den Server stellen.« Mehr als 100 Millionen bei Whats-App registrierte Nummern ließen sich pro Stunde abfragen, was die Identifizierung von 3,5 Milliarden aktiven Konten in 245 Ländern ermöglichte. Unter den gewonnenen Daten waren auch 77 Millionen Profilbilder von US-Nutzern. So »könnten Einzelpersonen und ihre Metadaten anhand ihres Gesichts gesucht und zugeordnet werden«.

Besonders heikel ist die Sicherheitslücke im Fall von Kunden, in deren Ländern Whats-App verboten ist. Sollten Behörden in China, Iran oder Myanmar an solche Informationen gelangen, laufen heimliche Nutzer Gefahr, bestraft zu werden. »Die Ende-zu-Ende-Verschlüsselung schützt den Inhalt von Nachrichten, aber nicht unbedingt die damit verbundenen Metadaten«, erklärt Seniorautor Aljosha Judmayer.