Schwachstelle in Messenger-Diensten ermöglicht Standortermittlung
Quelle: Depositphotos

Schwachstelle in Messenger-Diensten ermöglicht Standortermittlung

Gemäss einer internationalen Forschungsgruppe ist es möglich, den Standort einer Person via Messenger-Dienste zu ermitteln. Dies indem man misst, wie lange es dauert, bis eine Nachricht zugestellt wurde.
14. November 2022

     

Einer internationalen Forschungsgruppe ist es gelungen, den Standort einer Person mittels Nachrichten über Messenger-Dienste wie Whatsapp, Signal und Co. zu bestimmen. Gemäss der Forschungsgruppe können verschiedene Standorte einer Person voneinander unterschieden werden, indem man misst, wie lange es dauert, bis eine Nachricht zugestellt wurde. Die Ergebnisse der Sicherheitsforscher wurden bereits in einem Paper veröffentlicht und werden im kommenden Frühjahr auf einem internationalen Symposium vorgestellt.


Nachrichten werden über gängige Messenger-Dienste wie folgt versendet: Nach dem Absenden einer Nachricht wird diese mit einem Häkchen markiert. Sobald die Nachricht dann auch den Posteingang des Empfängers erreicht hat, wird dies mit einem zweiten Häkchen kommuniziert. Und genau hierbei liegt das Problem. Aus der Zeitspanne zwischen dem Erscheinen des ersten und des zweiten Häkchens lässt sich nämlich ableiten, wo sich der Empfänger gerade aufhält. Je nach Empfängerland gibt es nämlich eine charakteristische Dauer, bis die Zustellbestätigung eintrifft.
Um dieses Phänomen wissenschaftlich zu untermauern, verband die Forschungsgruppe ein Smartphone mit einer Laptop-Software, die alle zehn Sekunden eine Nachricht an Empfängerhandys in Deutschland, den Niederlanden, Griechenland und die Vereinigten Arabischen Emirate schickte. Dabei analysierte die Software den anfallenden Datenverkehr. So konnte die Forschungsgruppe mit einer Genauigkeit von 74 Prozent (Signal und Whatsapp) und 84 Prozent (Threema) feststellen, in welchem dieser Länder sich das Empfängergerät befand. In einem zweiten Schritt replizierten die Forscher das Experiment auf lokaler Ebene, sprich für verschiedene Städte im Ruhrgebiet, Deutschland. Auch hier waren ihre Bemühungen von Erfolg gekrönt und sie konnten den Standort mit einer Genauigkeit von bis zu 90 Prozent bestimmen.

Gewisse Limitierungen gibt es allerdings: So poppt das zweite Häkchen nur auf, wenn der Empfänger die Sendenummer im Handy abgespeichert hat. Der Standort einer beliebigen Handynummer lässt sich also nicht ermitteln. Dennoch gilt: "Wenn man aber bereits die üblichen Standorte des Smartphones kennt – zum Beispiel, weil man weiss, wo eine Person wohnt, arbeitet oder ins Fitnessstudio geht – kann man die charakteristische Dauer der Zustellbestätigung per Software messen und später mit dem Senden einer Nachricht an die Person herausfinden, ob sie sich gerade an einem dieser Orte befindet", erläutert Theodor Schnitzler, Leiter der Forschungsgruppe.


Theodor Schnitzler (TU Dortmund) und seine Mitforschenden, Katharina Kohls (Radboud University, Niederlande), Evangelos Bitsikas und Christina Pöpper (New York University, Abu Dhabi) haben das Paper bereits als Preprint veröffentlicht und werden es an dem Network and Distributed Systems Security Symposium in San Diego, USA, im kommenden Frühjahr genauer vorstellen. Damit werden auch Vorschläge für die Behebung der Schwachstelle aufgezeigt. So könnte man die Zustellbestätigung laut den Forschenden mit einer zufälligen zeitlichen Verzögerung versehen. Oder die Zustellbestätigungen schlichtweg gänzlich abstellen. (rf)


Weitere Artikel zum Thema

Kritische Lecks in Whatsapp

26. September 2022 - Mit dem September Update für Whatsapp hat der Hersteller des beliebten Messengers zwei Sicherheitslücken mit Schweregrad kritisch beziehungsweise hoch eliminiert.

Verbesserte Signal-App für iOS

24. Juli 2022 - Der Messenger Signal wartet in der iOS-App mit einem verbesserten und vereinfachten Medien-Editor auf, mit dem User Bilder und Videos vor dem Versand bearbeiten können.

Teleguard bietet verschlüsselte Videokonferenzen

13. Januar 2022 - Der Messenger Teleguard des Schweizer Anbieters Swisscows bietet neu die Möglichkeit, verschlüsselte Videokonferenzen abzuhalten.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER