Benachrichtigungen zum Lieferstatus können Hinweise auf Ihren Standort geben
Menschen mit bösen Motiven können einen sogenannten Timing-Angriff durchführen, bei dem ein Angreifer versucht, den Standort eines Benutzers abzuleiten, indem er die Zeit misst, die es dauert, bis seine Nachricht zugestellt wird. Sie verlassen sich bei dieser kritischen Information auf den Status der Nachrichtenübermittlung.
Ein Angreifer kann diese Verzögerungen messen, um das Land, die Stadt oder den Bezirk eines Empfängers herauszufinden, und kann sogar herausfinden, ob er WiFi oder mobiles Internet verwendet.
Damit dieser Angriff funktioniert, müssen sich Angreifer und Ziel kennen und zuvor bereits miteinander gesprochen haben.
WhatsApp wird von 2 Milliarden Menschen auf der ganzen Welt verwendet, und obwohl Signal und Threema mit 40 Millionen bzw alarmierend für die Nutzer dieser beiden Apps.
Tatsächlich scheinen Signal und Threema anfälliger für diese Angriffe zu sein, da der Timing-Angriff verwendet werden kann, um den Standort von Signal-Benutzern mit einer Genauigkeit von 82 Prozent und von Threema-Benutzern mit einer Genauigkeit von 80 Prozent abzuleiten. Bei WhatsApp liegt diese Zahl bei 74 Prozent, und obwohl dies ebenfalls besorgniserregend ist, hätten wir erwartet, dass der Abstand größer ist.
Wie man den Timing-Angriff vereitelt
Die Forscher haben herausgefunden, dass der Angriff wahrscheinlich nicht mit Geräten funktioniert, die beim Empfang einer Nachricht im Leerlauf sind. Daher haben sie vorgeschlagen, dass Entwickler den Absendern zufällige Zustellbestätigungszeiten anzeigen. Wenn das Timing um 1 bis 20 Sekunden abweicht, würde es den Timing-Angriff nutzlos machen, ohne die praktische Nützlichkeit von Zustellbenachrichtigungen zu beeinträchtigen.
Benutzer, die sich Sorgen um den Datenschutz des Standorts machen, können versuchen, die Lieferbenachrichtigungsfunktion zu deaktivieren, sofern dies von der App ihrer Wahl unterstützt wird. Unter der Annahme, dass die App nicht darauf eingestellt ist, ein VPN (virtuelles privates Netzwerk) zu umgehen, können Benutzer ein VPN verwenden, um die Latenz oder Verzögerung zu erhöhen.
RestorePrivacy wandte sich an den Hersteller der betreffenden Apps und erhielt folgende Antwort von Threema:
Wir haben bereits verschiedene Problemumgehungen in Betracht gezogen und verschiedene Tests durchgeführt, darunter auch solche, bei denen der Client zufällig Lieferbenachrichtigungen leicht verzögert, um diese Art von Zeitanalysen unbrauchbar zu machen. (App-Updates mit dieser Verbesserung sollten bald verfügbar sein.)
Bitte beachten Sie jedoch, dass die praktische Verwertbarkeit dieser Timing-Analysen umstritten ist: Benutzer haben ihre Messenger-App normalerweise nicht ständig geöffnet, und Push-Benachrichtigungen, die die App im Hintergrund aufwecken, verursachen bereits eine beträchtliche Verzögerung von bis zu mehreren Sekunden.