Einer internationalen Forschungsgruppe ist es gelungen, den Standort einer Person mittels Nachrichten über Messenger-Dienste wie
Whatsapp, Signal und Co. zu bestimmen. Gemäss der Forschungsgruppe können verschiedene Standorte einer Person voneinander unterschieden werden, indem man misst, wie lange es dauert, bis eine Nachricht zugestellt wurde. Die Ergebnisse der Sicherheitsforscher wurden bereits in einem Paper veröffentlicht und werden im kommenden Frühjahr auf einem internationalen Symposium vorgestellt.
Nachrichten werden über gängige Messenger-Dienste wie folgt versendet: Nach dem Absenden einer Nachricht wird diese mit einem Häkchen markiert. Sobald die Nachricht dann auch den Posteingang des Empfängers erreicht hat, wird dies mit einem zweiten Häkchen kommuniziert. Und genau hierbei liegt das Problem. Aus der Zeitspanne zwischen dem Erscheinen des ersten und des zweiten Häkchens lässt sich nämlich ableiten, wo sich der Empfänger gerade aufhält. Je nach Empfängerland gibt es nämlich eine charakteristische Dauer, bis die Zustellbestätigung eintrifft.
Um dieses Phänomen wissenschaftlich zu untermauern, verband die Forschungsgruppe ein Smartphone mit einer Laptop-Software, die alle zehn Sekunden eine Nachricht an Empfängerhandys in Deutschland, den Niederlanden, Griechenland und die Vereinigten Arabischen Emirate schickte. Dabei analysierte die Software den anfallenden Datenverkehr. So konnte die Forschungsgruppe mit einer Genauigkeit von 74 Prozent (Signal und Whatsapp) und 84 Prozent (Threema) feststellen, in welchem dieser Länder sich das Empfängergerät befand. In einem zweiten Schritt replizierten die Forscher das Experiment auf lokaler Ebene, sprich für verschiedene Städte im Ruhrgebiet, Deutschland. Auch hier waren ihre Bemühungen von Erfolg gekrönt und sie konnten den Standort mit einer Genauigkeit von bis zu 90 Prozent bestimmen.
Gewisse Limitierungen gibt es allerdings: So poppt das zweite Häkchen nur auf, wenn der Empfänger die Sendenummer im Handy abgespeichert hat. Der Standort einer beliebigen Handynummer lässt sich also nicht ermitteln. Dennoch gilt: "Wenn man aber bereits die üblichen Standorte des Smartphones kennt – zum Beispiel, weil man weiss, wo eine Person wohnt, arbeitet oder ins Fitnessstudio geht – kann man die charakteristische Dauer der Zustellbestätigung per Software messen und später mit dem Senden einer Nachricht an die Person herausfinden, ob sie sich gerade an einem dieser Orte befindet", erläutert Theodor Schnitzler, Leiter der Forschungsgruppe.
Theodor Schnitzler (TU Dortmund) und seine Mitforschenden, Katharina Kohls (Radboud University, Niederlande), Evangelos Bitsikas und Christina Pöpper (New York University, Abu Dhabi) haben das
Paper bereits als Preprint veröffentlicht und werden es an dem Network and Distributed Systems Security Symposium in San Diego, USA, im kommenden Frühjahr genauer vorstellen. Damit werden auch Vorschläge für die Behebung der Schwachstelle aufgezeigt. So könnte man die Zustellbestätigung laut den Forschenden mit einer zufälligen zeitlichen Verzögerung versehen. Oder die Zustellbestätigungen schlichtweg gänzlich abstellen.
(rf)