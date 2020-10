Immer wieder geraten Messenger wie Whatsapp wegen Sicherheits- und Privatsphäre-Problemen in die Kritik. Eine neue Studie zeigt nun, wie schnell sich ein eigentlich harmloses Feature wie die Linkvorschau zum Problemfall entwickeln kann. Ausgerechnet Whatsapp schneidet mit am besten ab.

Sie sind aus unserem Alltag eigentlich nicht mehr wegzudenken: Smartphone-Messenger wie Whatsapp sind für Jung und Alt das Kommunikationsmittel der Wahl. Und das, obwohl gerade der beliebteste Messenger Whatsapp immer wieder in Kritik gerät. Bei einer aktuellen Untersuchung der Missbrauchs-Möglichkeiten der Link-Vorschau steht der zu Facebook gehörende Messenger ausnahmsweise mal vorbildlich da. Ganz anders als die beiden anderen Messenger des Unternehmens.

Dass sich ausgerechnet die vermeintlich harmlose Link-Vorschau als Problem erweisen könnte, überrascht. Sie sorgt eigentlich nur dafür, dass im Chat gepostete Links eine Vorschau-Seite erhalten. So wird etwa bei stern-Artikeln die Überschrift und ein Vorschaubild angezeigt, wenn man sie in Messengern teilt. Doch was eigentlich verhindern soll, das man auf dubiose Seiten gelockt wird, kann sich selbst zur Falle entwickeln.

Problematische Vorschau

Das zeigen die beiden Sicherheitsexperten Talal Haj Bakry und Tommy Mysk in einer aktuellen Untersuchung. Die Probleme ergeben sich, weil für die Funktion Daten übertragen werden - und sich dadurch die Möglichkeit zur Verbreitung von Schadsoftware oder das Abgreifen sensibler Daten ergibt. Entscheidend dafür ist, wie die Funktion bei der App umgesetzt wird.

Dabei stellt sich etwa die Frage, auf welchem Gerät die Vorschau generiert wird. Baut das versendende Gerät die Vorschau und verschickt sie - wie es es unter anderem der Apple-Messenger iMessage oder auch Whatsapp machen -, muss nur der Versender der verlinkten Seite trauen. Der Empfänger ist sicher. Generiert aber der Empfänger die Vorschau, ist das eine krasse Sicherheitslücke: Schließlich könnte dann der reine Empfang einer verseuchten Webseite ausreichen, um das Empfangsgerät zu infizieren. Laut den Experten war das bei zwei Messengern im Test der Fall. Welche das sind, verraten sie aus Sicherheitsgründen nicht. Schließlich wollen sie nicht zum Ausnutzen der Lücke beitragen, bevor die Entwickler sie schließen konnten.

Im Falle der auf dem Empfänger-Smartphone generierten Vorschau besteht zudem die Gefahr, das Datenvolumen und den Akku leerzusaugen und schließlich sogar die ganze App zum Absturz zu bringen. Das gelang den Forschern etwa, indem sie mit 1,38 GB sehr große Bilder verschickten. Die ließen sich von den Apps problemlos auf Kosten des Datenvolumens empfangen, beim Berechnen der Vorschau gingen beide Apps aber in die Knie. Die benötigte Rechenleistung trieb den Akkuverbrauch nach oben und brachte sie schließlich zum Abstürzen. Die Chat-App Viber soll dieses Problem den Experten zufolge immer noch haben.

Facebook speichert Dokumente ohne Grenze

Die letzte Variante ist auch nicht ohne Probleme. Viele Apps wie Facebook Messenger, Instagram oder Twitter generieren die Vorschau auf einem eigenen Server und verschicken sie dann. Dadurch sind zwar sowohl Sender als auch Empfänger sicher, es birgt aber ganz eigene Risiken. So laden mehrere Anbieter auch dann eine Vorschau, wenn es sich bei den versendeten Links um sensible Inhalte wie eine per PDF auf einem Server gespeicherte Steuererklärung handelt. Bei Facebook und Instagram werden diese Dateien sogar dauerhaft gespeichert. Dabei konnten die Entwickler keine Grenze bei Dateigrößen finden. Während andere betroffene Apps bei 20 oder 50 Megabyte großen Dateien Schluss machten, saugten sich die beiden Facebook-Dienste sogar 2,6 GB große Dateien gleich in mehrfacherer Ausgabe auf ihre Server. Am Ende hatte sich Facebook 24,7 GB Daten gezogen.

Das von Facebook gegenüber den Experten als gewünscht bestätigte Verhalten hat mehrere Sicherheits-Probleme. Zum einen liegt die Datei damit auf einem fremden Server und kann entsprechend abgegriffen werden. Zum anderen sind auf diese Weise unter Umständen auch Attacken auf die Server selbst möglich. Das war laut Bakry und Mysk sowohl bei Facebook und Instagram Messenger als auch bei Linked.In der Fall. Die japanische App Line gefährdete die Privatsphäre der Nutzer auf andere Art: Weil der Link trotz Verschlüsselung des Chats im Klartext verschickt wurde, bekam der Anbieter Einsicht in Inhalte der Chats, die eigentlich nicht möglich sein sollten.

Dass ausgerechnet Whatsapp bei der Link-Vorschau so gut abschneidet, überrascht. Die App gilt unter Experten trotz Ende-zu-Ende-Verschlüsselung als Datenschutz-Albtraum. Dafür sorgt etwa die Tatsache, dass die Telefonnummer des Nutzers ausreicht, um zahlreiche Informationen über ihn abzufragen - ohne dass das bemerkt wird. So konnten etwa Forscher vor kurzem zehn Prozent der US-Whatsappnutzer identifizieren, ohne deren Nummer zu kennen. Sie fragten schlicht willkürlich Nummern ab und sammelten so Daten wie den Namen, das Profilbild, den Status oder die Angabe, wann man zuletzt online war.

Diese Meta-Daten genannten Informationen sind auch für Facebook enorm wertvoll. So weiß das Unternehmen genau, wer wann und wie lange mit wem Kontakt hat. Das gibt tiefgreifende Einblicke in das soziale Netzwerk. Die Abgleichung über das Telefonbuch sichert dem Unternehmen zudem immer wieder Zugriff auf neue Kontaktdaten von Nutzern und Nichtnutzern. Selbst die Sicherheit der Ende-zu-Ende-Verschlüsselung wird teilweise angezweifelt. Sie garantiert nur, dass die Übertragung der Daten verschlüsselt ist, in den Apps selbst muss sie im Klartext gezeigt werden. Weil Facebook den Programmcode der App nicht offenlegt, kann nicht sichergestellt werden, dass der Konzern die Chat-Inhalte nicht doch auf den Endgeräten selbst auswertet.

Quelle: Blogpost, Studie der Universitäten Darmstadt und Würzburg