WhatsApp, Signal, Threema: Timing-Angriff verrät Benutzerstandort

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher haben eine Sicherheitslücke identifiziert, die die Standortdaten von Nutzern von WhatsApp, Signal und Threema untergräbt. In einem Blog-Beitrag stellen die Sicherheitsforscher die Ergebnisse der Forschung vor und bieten potenzielle Lösungen zur Entschärfung des Angriffsvektors. Die Betreiber der Messenger untersuchen das Problem, wobei Threema aber die praktische Ausnutzbarkeit auf Grund der Restriktionen  prinzipiell in Frage stellt.


Anzeige

Ein ungenannt bleiben wollender Blog-Leser hat die Link auf den Beitrag Timing Attacks on WhatsApp, Signal, and Threema can Reveal User Location von Sven Taylor gepostet (danke dafür).

Da mobile Internetnetze und die Serverinfrastruktur von Instant-Messenger-Apps spezifische physikalische Eigenschaften aufweisen, die zu Standardsignalwegen führen, haben diese Benachrichtigungen vorhersehbare Verzögerungen, die von der Position des Nutzers abhängen. Die Sicherheitsforscher geben an, dass es dadurch möglich sei, die Standorte von Nutzern beliebter Instant-Messenger-Apps mit einer Genauigkeit von mehr als 80 % zu ermitteln. Möglich ist dies über einen speziell entwickelten Zeitangriff. Der Trick besteht darin, die Zeit zu messen, die der Angreifer benötigt, um die Benachrichtigung über den Zustellungsstatus einer an das Ziel gesendeten Nachricht zu erhalten.

Messenger user locations
Standortdaten von Messenger-Nutzern

In obiger Karte sind die Standorte von Messenger-Nutzern eingetragen, die die Sicherheitsforscher so identifizieren konnten. Der Ansatz basiert darauf, dass in einer Art vorbereitenden Arbeitsphase die Verzögerungen beim Senden von Nachrichten gemessen werden, die an Empfänger geschickt werden, deren Standort vorab bekannt wird. Auf diese Weise erhielten die Forscher eine Art Kalibierungsnetzwerk.

Im Anschluss könnte ein Angreifer herausfinden, wo sich der Empfänger der Nachricht zu einem beliebigen Zeitpunkt in der Zukunft befindet. Dazu braucht er ihm einfach nur eine neue Nachricht zu senden und die Zeit zu messen, die für die Zustellungsstatusbenachrichtigungen benötigt wird.

In ihrem technischen Bericht analysierten die Sicherheitsforscher (ein Forscherverbund von der TU Dortmund, der Ruhr-Universitat Bochum, der Radboud University in den Niederlande, der Northeastern University USA und der New York University in Abu Dhabi), dass dieser Zeitangriff genügend gut funktionieren könnte, um das Land, die Stadt und den Bezirk des Empfängers zu lokalisieren und sogar herauszufinden, ob er mit dem WiFi oder dem mobilen Internet verbunden ist.

Wenn die Angreifer genügend Tests durchführen, um einen umfangreichen Datensatz gegen eine Zielperson zu erstellen, könnten sie deren Position aus einer Reihe möglicher Standorte in einer Stadt wie "Zuhause", "Büro", "Fitnessstudio" usw. ableiten, und zwar ausschließlich anhand der Verzögerung bei der Zustellungsbenachrichtigung.

Das Verfahren funktioniert für die populären Messenger WhatsApp, Signal und Threema, schreiben die Sicherheitsforscher. Damit der Timing-Angriff funktioniert, müssen Angreifer und Opfer sich allerdings kennen und sich zuvor über die Messenger-App unterhalten haben. Dies ist eine Voraussetzung sowohl für den Angriff als auch für die Vorbereitungen (das Risiko ist also überschaubar). Dann sind Standortbestimmungen mit folgender Trefferquote möglich:


Anzeige

  • 82 % für Signal
  • 80% für Threema
  • 74 % für WhatsApp

Die Sicherheitsforscher schreiben, dass diese Ergebnisse aus Datenschutzsicht der Nutzer alarmierend sind, denn die Plattformen, insbesondere Signal und Threema, werben damit, dass sie sichere und private Messenger seien, die über die Sicherheit anderer Plattformen hinausgehen.

Bei der Analyse sind die Sicherheitsforscher jedoch darauf gestoßen, dass diese Angriffe ausgehebelt werden können. Bei einigen Geräten wurde festgestellt, dass einige Geräte beim Empfang der Nachrichten im Leerlauf waren. Dies kann die Messergebnisse verfälschen und stellt praktisch eine allerdings unzuverlässige Gegenmaßnahme dar. Aber eine zufällige Verzögerung der Zustellungsbestätigungszeiten für den Absender zwischen 1 bis 20 Sekunden würde ausreichen, um diesen Zeitangriff unmöglich zu machen, ohne die praktische Nützlichkeit der Zustellungsstatus-Benachrichtigungen zu beeinträchtigen.

Wenn die App die Möglichkeit bietet, die Benachrichtigungsfunktion zu deaktivieren, die den Absender darüber informiert, wann die Nachricht eingegangen ist, würde diese Einstellung das Problem ebenfalls entscheidend lösen, da die ausnutzbare Schwachstelle entfällt. Als dritte Möglichkeit können Benutzer auch ein VPN (virtuelles privates Netzwerk) auf mobilen Geräten verwenden, um die Latenzzeit zu erhöhen und die Standortdaten zu verschleiern. Bei der letztgenannten Lösung besteht aber das Risiko, dass der Standort des Nutzers über Schwachstellen bei VPN-Diensten ermittelt werden kann.

Die drei genannten Messenger-Dienste untersuchen diesen Angriffsvektor und wollen sich zu gegebener Zeit dazu äußern. Von Threema heißt es, dass die Verzögerungszeit von 1 bis 20 Sekunden ausreiche, um solche Angriffe ins Leere laufen zu lassen. Man habe dies in Betracht gezogen und Test durchgeführt, weist aber darauf hin, dass praktische Verwertbarkeit dieser Zeitanalysen fraglich sei. Die meisten Benutzer haben ihre Messenger-App in der Regel nicht ständig geöffnet. Die Push-Benachrichtigungen, die die App im Hintergrund aufwecken, um die Empfangsbestätigung zu senden, führen bereits zu einer erheblichen Verzögerung von bis zu mehreren Sekunden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WhatsApp abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu WhatsApp, Signal, Threema: Timing-Angriff verrät Benutzerstandort

  1. Stephan sagt:

    Sind ja dann doch mehr Spekulationen als "Genaue" angaben.

    Die Zeit vom Senden -> Zustellen -> Rückmeldung an den Sender ist von vielen Faktoren Abhängig.
    Da können Faktoren wie WLan / Mobiles Netz, Schlechter Empfang oder sonst irgendwas enorme auswirkungen haben.
    Der Empfänger muss sich nur in einem Gut Abgeschirmten Gebäude befinden, und schon passt das alles nicht mehr.

    Als Datenschutzrechtlich Bedenklich kann man dieses Ungenaue system doch nicht wirklich einstufen.
    Ebenso die Standort Punkte auf der Karte…woher sollen die kommen.
    Dazu würde man genaueren zugriff auf die Sendestationen haben um ggf. eine Dreieckspeilung vornehmen zu können.

    Liest sich alles mehr wie Panikmache.

    • Kai sagt:

      Zustimmung (nicht nur bei dir, sondern auch den anderen Stimmen hier in den Kommentaren, die die 'Gefahr' doch weit weniger hoch / dramatisch sehen), aber als Ergänzung zur Frage 'Standort Punkte auf der Karte…woher sollen die kommen':

      Wie man in der verlinkten Quelle nachlesen kann, so sind das nicht die Nutzer des Messengers, sondern die Server(!) von WA, Signal und Threema. Da werden keine identifizierten Nutzer angezeigt.

      Ebenfalls nicht uninteressant: Die etwa 80% Trefferquote beziehen sich wohl eher auch nur(?) auf den Fall 'beide Nutzer sind in der gleichen Stadt' ('out of three locations within the same city, the sender can determine the correct one with more than 80 % accuracy. ').

      Zu den Prozentangaben scheint

      • Stephan sagt:

        Wenn es sich dabei auch noch um die Server handelt, ist die angabe ja nochmal ungenauer.
        Dadurch können treffer wie "Zuhause" oder "Arbeit" entsprechend weniger genau Positioniert werden.

        Wie auch immer diese "Genauigkeiten" Festgestellt wurden,
        sind sie alles ander als Genau.

  2. Singlethreaded sagt:

    Wer sollte mich denn so orten wollen? Bei Signal muss man neue Gesprächspartner erstmal freigeben, sonst wird das mit der Lesebestätigung nichts. Bleiben also nur die eigenen Kontakte, welche mich auch einfach fragen könnten?
    Auch ist der Aufwand weltweit Laufzeiten zur Kalibrierung aufzuzeichnen schon ziemlich groß und Routen im Internet können sich auch mal ändern. Somit ist diese Kalibrierung regelmäßig zu wiederholen.
    Andere Akteure wie Polizei oder Geheimdienst könnten wohl besser meinen Mobilfunkprovider fragen. Praktisch erscheint mir das Ganze wenig relevant, zumal es viele Faktoren gibt welche Laufzeiten beeinflussen.

    Gruß Singlethreaded

  3. Cornelia sagt:

    Ich schliesse mich den vorherigen Kommentaren an. Die Verwertbarkeit dieser Zeitverzögerungs-Informationen scheinen mir nicht ausreichend genau zu sein, als dass diese wirklich zu einem konkreten Zweck nutzbar wären. Selbst mit einer Genauigkeit von 85-90% gäbe es noch einen beträchtliche "Unsicherheit", wo sich jemand befindet. Andersherum reicht für die im Artikel erwähnten Favoriten-Orte wie "Zuhause" oder "Arbeitsplatz" allenfalls schon eine Genauigkeit bzw. Wahrscheinlichkeit von 70-75%, dass sich eine Person tatsächlich dort befindet, insbesondere wenn es mit der üblichen Tageszeit (von/bis) übereinstimmt.

    Nur wegen diesem Datenschutzleck würde ich jedenfalls die Lesebestätigung bei WhatsApp nicht verweigern wollen, zumal ich dann die Lesebestätigungen meiner Kontakte auch nicht mehr erhalten würde.

    Eine zufällige Verzögerung von bis zu 20 oder sogar 30 Sekunden wäre meiner Meinung aber absolut kein Problem – ausser vielleicht im Zusammenhang mit Notfalldiensten (Krankenwagen, Feuerwehr), wobei diese, soweit ich informiert bin, in der Regel andere Kanäle für die Einsatzplanung bzw. Alarmierung nutzen.
    Allenfalls hätten Spitexdienste und ähnliche einen gewissen Nachteil, wenn sie eine Verzögerung für die Lesebestätigungen berücksichtigen müssten. Aber selbst das erachte ich als geringes Problem.

  4. Ralf S. sagt:

    Zum Glück nutze ich Telegram.

  5. Karl sagt:

    Es sollte reichen das Datum "Standort der vermittelnden Server" zu kennen um damit weiter zu arbeiten. Eine Überwachung der dort lokalen Mobilfunknetze oder -cluster beispielsweise. Ich würde das Risiko als hoch und relevant betrachten.

Schreibe einen Kommentar zu Stephan Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.