Nach der Installation eines mobilen Messengers wie WhatsApp können Nutzerinnen und Nutzer direkt mit ihren Kontakten interagieren, deren Telefonnummern in ihrem Adressbuch gespeichert sind. Dafür müssen die Nutzenden der App die Erlaubnis erteilen, auf ihr Adressbuch zuzugreifen und dieses regelmäßig zum Kontaktabgleich an die Server des Dienstanbieters hochzuladen. Eine aktuelle Studie eines Teams von Forscherinnen und Forschern der Secure Software Systems Group an der Universität Würzburg und der Cryptography and Privacy Engineering Group an der TU Darmstadt zeigt, dass derzeit verwendete Methoden zur Kontaktermittlung die Privatsphäre von weit mehr als einer Milliarde Nutzenden massiv bedrohen.
Unter Verwendung sehr weniger Ressourcen war das Team in der Lage, praktikable Crawling-Angriffe auf die populären Messenger WhatsApp, Signal und Telegram durchzuführen. Die Experimente zeigen, dass bösartige Nutzende oder Hacker in großem Stil und ohne nennenswerte Einschränkungen sensible Daten sammeln können, indem sie bei Diensten zur Kontaktermittlung zufällige Telefonnummern abfragen.
Für die umfangreiche Studie haben die Forscherinnen und Forscher 10% aller Mobilfunknummern in den USA für WhatsApp und 100% für Signal abgefragt. Dadurch waren sie in der Lage, persönliche (Meta-) Daten zu sammeln, wie sie üblicherweise in den Nutzerprofilen der Messenger gespeichert sind, inklusive Profilbilder, Nutzernamen, Statustexte und die „zuletzt online“ verbrachte Zeit. Die analysierten Daten offenbaren auch interessante Statistiken über das Nutzerverhalten. Beispielsweise ändern sehr wenige Nutzende die standardmäßigen Privatsphäre-Einstellungen, die für die meisten Messenger ganz und gar nicht Privatsphäre-freundlich sind.
Das Team fand heraus, dass ungefähr 50% aller WhatsApp-Nutzerinnen und -Nutzer in den USA ein öffentliches Profilbild haben und 90% einen öffentlichen Infotext. Interessanterweise verwenden 40% aller bei Signal Registrierten (von denen man allgemein vermuten würde, dass sie mehr um ihre Privatsphäre besorgt sind) auch WhatsApp, und die Hälfte von diesen hat ein öffentliches Profilbild bei WhatsApp. Solche Daten über die Zeit zu verfolgen verhilft Angreifenden dazu, genaue Verhaltensmodelle zu erstellen.
Wenn die Daten mit sozialen Netzen und anderen öffentlichen Datenquellen abgeglichen werden, können Dritte auch detaillierte Profile erstellen und beispielsweise für Betrugsmaschen nutzen. Bezüglich Telegram fanden die Forscherinnen und Forscher heraus, dass der Dienst zur Kontaktermittlung auch sensible Informationen selbst über die Besitzerinnen und Besitzer von Telefonnummern preisgibt, die nicht bei dem Dienst registriert sind.
