17. Dezember
Wie sieht eigentlich der Arbeitsalltag von IT-Sicherheits-Forscher*innen aus? Woher kommen die Ideen für die wissenschaftlichen Veröffentlichungen? Diese und weitere Fragen beantwortet heute Christian Weinert, Doktorand und Wissenschaftler bei CROSSING. Er gibt außerdem einen verständlichen Einblick in eine wissenschaftliche Veröffentlichung zu Sicherheitslücken in populären Messengern wie WhatsApp, Signal oder Telegram, an der er als Co-Autor mitgewirkt hat:
Wie WhatsApp, Signal & Co die Privatsphäre gefährden
Forschungs-Teams der Technischen Universität Darmstadt und der Universität Würzburg zeigen, dass populäre mobile Messenger persönliche Daten über Kontaktermittlungsdienste preisgeben. Diese ermöglichen, Kontakte anhand von Telefonnummern aus dem persönlichen Adressbuch zu finden.
Herr Weinert, in diesem Paper geht es um sensible Daten, die die Messenger-Apps WhatsApp, Signal und Telegram über die Nutzer*innen preisgeben, wenn ein bestimmter Angriff ausgeführt wird. Welche Daten haben Sie bei Ihren Tests genau erbeuten können? Warum ist es eine Gefahr für die Privatsphäre, wenn ein Angreifer diese Daten kennt?
Christian Weinert: Wir haben herausgefunden, dass wenn man zufällige Mobilfunknummern als eigene Kontakte ausgibt, es problemlos möglich ist, in großem Stil persönliche (Meta-) Daten zu sammeln, wie sie üblicherweise in den Nutzerprofilen der Messenger gespeichert sind. Dazu gehören Profilbilder, Nutzernamen, Statustexte und die “zuletzt online” verbrachte Zeit. Solche Daten über die Zeit zu verfolgen ermöglicht genaue Verhaltensmodelle zu erstellen. Wenn die Daten mit sozialen Netzwerken und anderen öffentlichen Datenquellen abgeglichen werden, können Angreifer sehr detaillierte Profile erstellen und beispielsweise für gezieltes Phishing und andere Betrugsmaschen nutzen.
Welche Einstellungen muss ich in den Messengern ändern, damit ich vor dieser Art von Angriff sicher bin?
CW: Wir empfehlen auf jeden Fall die standardmäßigen Privatsphäre-Einstellungen zu ändern, die für die meisten Messenger leider überhaupt nicht Privatsphäre-freundlich sind und die genannten Nutzerdaten quasi öffentlich zugänglich machen. Konkret sollte man die Sichtbarkeit von Profilbildern, Statustexten und der “zuletzt online” verbrachten Zeit zumindest auf die eigenen Kontakte beschränken, also Personen deren Telefonnummern man selbst gespeichert hat.
Christian Weinert
promoviert am Fachgebiet "ENCRYPTO – Cryptography and Privacy Engineering" an der TU Darmstadt und ist Wissenschaftler im Projekt E4 des Sonderforschungsbereichs CROSSING.
Wie gehen Sie damit um, wenn Sie Sicherheitslücken in Software finden?
CW: Das etablierte Vorgehen für diesen Fall heißt “Responsible Disclosure”. Dabei tritt man mit den Sicherheitsexperten der betroffenen Unternehmen in Kontakt und beschreibt genau, welches Problem auftritt und wie es reproduziert werden kann. So können die Unternehmen meist relativ schnell Updates bereitstellen, bevor die Sicherheitslücken durch bösartige Nachahmer aktiv ausgenutzt werden können.
So wurden beispielsweise durch unsere Forschungsergebnisse innerhalb weniger Monate die Schutzmaßnahmen für WhatsApp und Signal verbessert, sodass man nun deutlich weniger zufällige Telefonnummern abfragen kann und großangelegte Angriffe frühzeitiger erkannt werden.
Woher kommen die Ideen, aus denen dann Paper wie dieses entstehen?
CW: Die tägliche Flut an Meldungen über neue Datenpannen und andere Privacy-Desaster bietet einiges an Inspiration. Man fragt sich dann immer: Hätte das durch geeignete Schutzmaßnahmen verhindert werden können und wie können wir dazu beitragen, dass solche Vorfälle zukünftig nicht mehr vorkommen?
Zum Beispiel gab es im letzten Jahr Berichte, dass bestimmte Telegram Funktionen die Sicherheit von Demonstranten in Hong Kong gefährden könnten. Das hat uns unter anderem motiviert, die Kontaktermittlungsverfahren verschiedener Messenger mal genauer anzusehen und entsprechende Schutzmaßnahmen vorzuschlagen.
Was hat Sie dazu bewogen, im Bereich IT-Sicherheit zu promovieren? Was macht Ihnen besondere Freude daran, und gibt es auch etwas, das Sie an Ihrem Beruf nicht mögen?
CW: Das Thema hat mich seit Besuch der Vorlesung “Einführung in die Kryptographie” von Prof. Johannes Buchmann fasziniert. Die Promotion bietet die einmalige Chance, sich in der nötigen Tiefe mit praxisrelevanten Fragestellungen auseinanderzusetzen und mögliche Lösungsansätze voranzutreiben.
Mir gefällt insbesondere, dass der Arbeitsalltag extrem vielfältig ist. So kann man sich fließend zwischen richtigem “Hacking”, Softwareentwicklung, theoretischem Design kryptographischer Methoden und formalen Sicherheitsbeweisen bewegen. Leider ist das Thema IT-Sicherheit sehr komplex und herausfordernd, da immer neue und unerwartete Einfallstore gefunden werden. Dass man oft keine endgültige Gewissheit über die Sicherheit von realen Systemen hat, kann zugegebenermaßen recht frustrierend sein.
Vielen Dank für das Interview, Herr Weinert!
Die Fragen stellte Ann-Kathrin Braun.
