Was Anwender in Messengern wie WhatsApp, Threema, Signal und iMessage miteinander teilen, bleibt weitestgehend privat – dafür sorgt eine Ende-zu-Ende-Verschlüsselung. Doch auch ohne die tatsächlich ausgetauschten Inhalte der Kommunikationsteilnehmer zu kennen, können die Apps viel darüber verraten, wie die jeweiligen Nutzer leben. Einem Forscherteam aus Wien ist es gelungen, über fingierte Bestätigungsanforderungen Menschen über die Messenger WhatsApp und Signal zu beobachten. Über das Zeitintervall bis zur Antwort lassen sich Informationen über App-Nutzung, Gerätetyp und Aufenthaltsort ableiten, ohne dass die Betroffenen etwas davon mitbekommen. Bei WhatsApp war es sogar möglich, Akku- und Datenbedarf signifikant zu erhöhen. Dazu benötigten sie lediglich die Mobilfunknummer.


Der Device Activity Tracker, den die Forscher nun als Beispiel veröffentlicht haben, erzeugt ein Nutzungsprofil eines Anwenders und analysiert im Zeitverlauf, ob ein Smartphone gerade genutzt wird und ob es Änderungen im Netzwerkstatus gibt (WLAN oder Mobilfunknetz). Zu diesem Zweck versendet es automatisiert Reaktionen (etwa ein Daumen-hoch-Emoji) auf Nachrichten, die es gar nicht gegeben hat. Die App des Empfängers antwortet trotzdem und so schnell wie möglich – auch auf Anfragen von Nutzern, mit denen sie nicht im Austausch steht. Anwender bekommen davon nichts mit.

Wer hat uns verraten? Metadaten!
In ihrer Forschungsarbeit haben die Wissenschaftler auf diese Weise gezeigt, wie sich anhand kumulierter Anfragen ein Antwortprofil erstellen lässt, welches unter anderem verrät, was für ein Smartphone am anderen Ende genutzt wird. Obendrein war es ihnen bei WhatsApp möglich, eine sogenannte „Resource Exhaustion Attack“ zu gestalten: Binnen einer Stunde konnten sie über massenhafte Anfragen die Akkukapazität um bis zu 15 Prozent reduzieren und ein Datenaufkommen von über 13 GByte erzeugen. Der dritte getestete Messenger hielt dieser Form der Attacke stand: Threema verwendet keine Zustellungsbestätigungen bei Reaktionen (und zudem keine Mobilfunknummern).

Bedingt abschaltbar
WhatsApp verfügt über eine Option in den Einstellungen, welche Abhilfe verspricht: Unter Einstellungen/Datenschutz/Erweitert können Nutzer die Funktion „Nachrichten von unbekannten Konten blockieren“ einschalten. Doch obwohl diese eingeschaltet ist, wird sie erst aktiv, wenn die Anzahl an Nachrichten von Unbekannten eine (geheime) Schwelle überschreitet. Nutzer des Messengers „Signal“ können unter Einstellungen/Datenschutz/Telefonnummer den Eintrag „Wer kann mich anhand meiner Telefonnummer finden“ auf „Niemand“ stellen. Gemäß einem Diskussionsbeitrag auf GitHub sollte dies verhindern, dass ein solcher Angriff stattfinden kann. Zudem können sich Nutzer dazu entscheiden, Lesebestätigungen zu senden sowie zu erhalten. Das sehen viele jedoch als eine essenzielle Funktion an.