Ulm News, 09.10.2014 18:00
Ulmer Forscher weisen weitreichende Auswirkungen der WhatsApp-Sicherheitslücke für Nutzer nach


Beschreibung: Ulmer Informatiker bemängeln den Datenschutz bei mobilen Kommunikationsdiensten wie WhatsApp (v.r.): Andreas Buchenscheit,, Professor Frank Kargl, Andreas Neubert, Bastian Könings, Matthias Schneider
Fotograf: Tobias Egle

Der Ulmer IT-Spezialist Andreas Buchenscheit hat in einer unabhängigen Studie nachgewiesen, dass der beliebte Online-Dienst „WhatsApp“ große Sicherheitslücken aufweist. Der Dozent an der Hochschule Ulm und Inhaber des Ulmer IT-Unternehmens „cortex media“ zeigt auf, welche Auswirkungen die „WhatsApp“-Daten auf die Privatsphäre eines Nutzers haben können. Diese sind nach der aktuellen Studie deutlich weitreichender als bislang angenommen. Buchenscheit wurde jetzt auch zu einer internationalen Konferenz nach Melbourne eingeladen. Dort wird der Ulmer Ende November die Ergebnisse der Studie vorstellen.
Kürzlich hatte ein italienischer Forscher nachgewiesen, dass mit Hilfe von Screenshots aus WhatsApp und OCR Erkennung der „online“ und „schreibt“-Status von einzelnen WhatsApp-Nutzern ausgelesen werden kann. Somit kann protokolliert werden, wann ein Benutzer online war. Die Ulmer Forschergruppe um Andreas Buchenscheit, die sich schon seit Herbst 2013 mit diesem Thema beschäftigt, hat nun ein Papier veröffentlicht, welches ein noch viel bedrohlicheres Gefahrenszenario aufzeigt und dessen Inhalt die bisherige Erkenntnisse deutlich übersteigt. Dies gelang mit einer Studie, bei der der WhatsApp Online-Status von zwei unabhängigen Gruppen mit jeweils zehn Probanden über einen Zeitraum von vier Wochen aufgezeichnet und analysiert wurde. Andreas Buchenscheit, Dozent an der Hochschule Ulm und Inhaber des Ulmer IT-Unternehmens „cortex media“, gelang es gemeinsam mit seinen Kollegen, den Online-Status direkt vom WhatsApp Server für eine beliebige Rufnummer abzugreifen. Dieser Zugriff ist selbst dann möglich, wenn das sogenannte „zuletzt online“ Feature durch den Benutzer explizit deaktiviert wurde. Die Gruppe entwickelte ein Tool, mit dem es möglich ist, auf diese Weise eine beliebige Anzahl von Personen ohne deren Wissen oder Zustimmung gleichzeitig zu überwachen und lückenlos zu protokollieren, zu welchen Zeiten und wie lange WhatsApp aktiv genutzt wird. Ziel der Forschungsarbeit war jedoch nicht nur, die generelle Möglichkeit dieses Abhörens zu demonstrieren, sondern auch zu zeigen, was für Auswirkungen dies auf die Privatsphäre eines Nutzers haben kann. „Diese Auswirkungen sind deutlich weitreichender als bislang angenommen“, so Andreas Buchenscheit. Durch die Studie, bei der der WhatsApp Online-Status von zwei unabhängigen Gruppen mit jeweils zehn Probanden über einen Zeitraum von vier Wochen aufgezeichnet und analysiert wurde, konnten die Ulmer Forscher zeigen, dass sich anhand des Online-Status komplette Nutzungsprofile erstellen lassen. Es wurden Metriken entwickelt, um aus den Daten weitreichende Informationen über den Tagesablauf und die Gewohnheiten einer Person abzuleiten. Zum Beispiel kann ohne großen Aufwand festgestellt werden, wann eine Person morgens aufsteht und abends ins Bett geht. Es kann lückenlos protokolliert werden, ob WhatsApp zu unangebrachten oder sogar verbotenen Zeiten genutzt wird (z.B. während der Arbeits- oder Schulzeit). „Arbeitgeber können Mitarbeiter überwachen und überprüfen, wie lange ihre Mitarbeiter nachts wach sind und somit ob sie fit genug zur Arbeit kommen oder bis 4:30 Uhr eine Party gefeiert haben“, erklärt Buchenscheit. Bei einer Testgruppe sei sogar die Teilnahme der kompletten Gruppe an einer Studentenparty anhand der aufgezeichneten Daten nachgewiesen worden, so der Forscher. Besonders kritisch ist die in der Studie vorgestellte Möglichkeit, aus den generierten Nutzungsprofilen ein Kommunikationsmuster abzuleiten. Den Forschern gelang es, mehrere Konversationen zwischen den Probanden zu identifizieren. Diese Technik lässt sich sowohl im privaten Umfeld („Chattet meine Frau mit Person X?“) oder geschäftlichen Umfeld („Ist Mitarbeiter X mit Person Y in Kontakt“) einsetzen, „aber auch von Staaten und Regierungen, welche die Kommunikationsaktivitäten und -partner ihrer Bürger aus politischen Gründen überwachen wollen.“ Dies zeige ein grundsätzliches Problem auf, dass sich keineswegs nur auf WhatsApp beschrä ; ;nke, sondern im Prinzip alle modernen Messenger und Kommunikationssysteme betreffe, sagt Buchscheit. Vermeintlich harmlo se Metadaten, die sorglos geteilt oder erfasst werden, verraten oft viel mehr über Nutzer, als diese sich vorstellen können. Darum sollten Mechanismen zum Schutz dieser Daten ein grundlegender Bestandteil jedes Systemdesigns sein. Das am Dienstag veröffentlichte Papier wird im November auf einer internationalen Konferenz im australischen Melbourne vorgestellt (MUM 2014: The International Conference on Mobile and Ubiquitous Multimedia). Die Forschergruppe, die aus Experten für Internet Security der Firma Cortex Media GmbH aus Ulm, sowie aus Wissenschaftlern der Universität Ulm und der Carnegie Mellon University, Pittsburgh, USA besteht, hofft durch die Veröffentlichung der Ergebnisse auf potentielle Auswirkungen der Nutzung von mobilen Chat-Apps aufmerksam machen zu können. An der Untersuchung waren die Uni-Informatiker Professor Frank Kargl und Bastian Könings, Wissenschaftlicher Mitarbeiter am Institut für Medieninformatik, Alumni Andreas Buchenscheit, der mittlerweile an der Hochschule Ulm lehrt, und Florian Schaub (jetzt Carnegie Mellon University, USA) an der Untersuchung beteiligt. Dazu kommen Andreas Neubert und Matthias Schneider, Experten für Internetsicherheit bei der Ulmer Cortex Media GmbH (Inhaber: Andreas Buchenscheit). Gemeinsam planen sie nun eine umfangreichere Studie, bei der Statusdaten automatisch interpretiert werden, um so Kommunikationspartner und Gewohnheiten der WhatsApp-Nutzer noch exakter zu identifizieren.









Highlight
Weitere Topevents




31-jähriger Pedelec-Fahrer verunglückt tödlich
Ein 31-Jähriger stürzte bei Heidenheim von seinem Pedelec und kam dabei zu Tode. weiterlesen

Radler stirbt bei Trainingsfahrt - nicht bei Rad-Marathon Alb-Extrem
Anders als gemeldet, kam am Wochende ein 58-jähriger Radler nicht bei der Radveranstaltung Alb-Extrem ums...weiterlesen

Traurige Biker-Bilanz vom Wochenende: Motorradfahrerin verunglückt tödlich
Am Samstagnachmittag ereignete sich auf der Kreisstraße 7 zwischen Oberroth und Osterberg ein...weiterlesen

Christopher Street Day 2025 zieht durch Ulm und Neu-Ulm
Am 21. Juni 2025 ist es soweit – unter dem Motto „KEINEN SCHRITT ZURÜCK“ geht der Christopher...weiterlesen

Überschlag im Naherholungsgebiet - mysteriöser Autofund im Kiesental
Einen zerstörten Mercedes fanden Polizisten am Samstagabend im Naherholungsgebiet Kiesental zwischen...weiterlesen

Feuer vernichtet Lager des Theaters Ulm
Gegen halb drei Uhr morgens bemerkte ein Passant den Rauch, der aus der ehemaligen Paketposthalle neben...weiterlesen

Christopher Street Day: Diese Straßen werden gesperrt
Die Parade zum Christopher Street Day in Ulm und Neu-Ulm macht am Samstag auch einige Straßensperrungen...weiterlesen

Der Showdown in München - 5. Finalspiel entscheidet für die Uuulmer um die Deutsche Meisterschaft
Heute geht´s um aaallles: im Entscheidungsspiel um die deutsche Meisterschaft gastiert ratiopharm ulm im...weiterlesen