Welche Informationen während der Kontaktermittlung preisgegeben und über Crawling-Angriffe gesammelt werden können, hängt vom Dienstanbieter und den gewählten Privatsphäre-Einstellungen ab. Beispielsweise übertragen WhatsApp und Telegram das komplette Adressbuch der Nutzenden an entsprechende Server. Privatsphäre-schützende Messenger wie Signal übertragen nur kurze kryptographische Hashwerte von Telefonnummern oder verlassen sich auf vertrauenswürdige Hardware.
Die Forschungs-Teams zeigen jedoch, dass es mit Hilfe neuer und optimierter Angriffsstrategien dennoch möglich ist, innerhalb von Millisekunden von den Hashwerten auf die zugehörigen Telefonnummern zurückzuschließen. Noch gravierender, da es keine nennenswerten Hürden für die Registrierung bei solchen Messengern gibt, ist dies: Dritte können eine große Anzahl an Accounts erstellen und die Nutzerdatenbanken eines Messengers nach Informationen durchforsten, indem Daten für zufällige Telefonnummern abgefragt werden.
„Wir empfehlen bei der Verwendung von mobilen Messengern dringend, sämtliche Privatsphäre-Einstellungen zu überprüfen. Dies ist derzeit der effektivste Schutz gegen unsere untersuchten Crawling-Angriffe“ sind sich Prof. Alexandra Dmitrienko (Universität Würzburg) und Prof. Thomas Schneider (TU Darmstadt) einig.
Die Forschenden haben ihre Erkenntnisse mit den jeweiligen Dienstanbietern geteilt. WhatsApp hat seine Schutzmaßnahmen daraufhin derart verbessert, dass großangelegte Angriffe nun erkannt werden und Signal hat die Anzahl möglicher Abfragen reduziert, um Crawling zu erschweren. Die Forscherinnen und Forscher schlagen auch verschiedene andere Techniken zum Schutz vor, inklusive eines neuen Verfahrens zur Kontaktermittlung, das die Effizienz von Angriffen reduzieren würde, ohne die Nutzbarkeit negativ zu beeinflussen.
