PCS - Professional Computer Service

18/09/2020

WhatsApp & Co.: Forscher warnen vor massenhaftem Auslesen von Kontakten

Verfahren zur Kontaktermittlung bei populären Messengern gefährdeten die Privatsphäre von über einer Milliarde Nutzern, schlagen Wissenschaftler Alarm.
Lesezeit: 2 Min.
In Pocket speichern
vorlesen
Druckansicht
Kommentare lesen
165 Beiträge
WhatsApp & Co.: Forscher warnen vor massenhaftem Auslesen von Kontakten

(Bild: heise online / anw)
17.09.2020 15:45 Uhr
Von

Stefan Krempl

Anzeige

Der Zugriff von Messenger-Diensten wie WhatsApp auf das Adressbuch für die Kommunikation mit bereits bestehenden Kontakten gilt generell als datenschutzrechtlich problematisch. Über einfache Crawling-Angriffe in Form der zufälligen Abfrage von Telefonnummern lässt sich das soziale Umfeld von Nutzern aber in noch stärker ausspionieren, zeigt eine Studie von IT-Sicherheitsforschern der Uni Würzburg und der TU Darmstadt. Sie sehen damit "die Privatsphäre von weit mehr als einer Milliarde" Anwender bedroht.

Für die Untersuchung fragten die Wissenschaftler der Würzburger Secure Software Systems Group und der Darmstädter Cryptography and Privacy Engineering Group laut der als Preprint veröffentlichten Ergebnisse zunächst anhand einer Datenbank zufällig ausgewählte zehn Prozent aller Mobilfunknummern in den USA für WhatsApp und 100 Prozent für Signal ab. Dadurch waren sie in der Lage, persönliche Informationen inklusive Metadaten zu sammeln, wie sie üblicherweise in den Nutzerprofilen der Messenger gespeichert werden. Dazu gehörten etwa auch Profilbilder, Nutzernamen, Statustexte und die "zuletzt online" verbrachte Zeit.

Die analysierten Daten offenbaren aussagekräftige Statistiken über das Verhalten der Anwender. So ändern nur sehr wenige Nutzer die standardmäßigen Privatsphäre-Einstellungen, obwohl diese für die meisten nicht sonderlich datenschutzfreundlich sind. Die Teams fanden heraus, dass ungefähr 50 Prozent aller WhatsApp-User in den USA ein öffentliches Profilbild haben und 90 Prozent einen öffentlichen Infotext. 40 Prozent aller bei Signal Registrierten hatten auch das von Datenschützern kritischer gesehene WhatsApp in Betrieb, die Hälfte davon sogar ein öffentliches Profilbild dort gespeichert.
Verhaltensmodelle möglich

Angreifer, die solche Daten über die Zeit hinweg verfolgen, können genaue Verhaltensmodelle in Form des sogenannten Social Graph erstellen. Wenn sie die Informationen mit weiteren Angaben in sozialen Netzwerken und anderen öffentlichen Datenquellen abgleichen, können sie auch detaillierte Profile erstellen und etwa für Betrugsmaschen sowie Abzocke nutzen.

Auch Telegram nahmen die Experten unter die Lupe und stellten fest, dass der Dienst zur Kontaktermittlung sogar die Anzahl möglicher Kommunikationspartner für die Besitzer von Telefonnummern preisgibt, die gar nicht bei dem Dienst registriert sind. Das API der App legt eine breite Palette sensibler Informationen offen.

Welche Daten während des Adressbuchabgleichs publik werden und über Crawling-Angriffe gesammelt werden können, hängt vom Dienstanbieter und den gewählten Privatsphäre-Einstellungen ab. WhatsApp und Telegram übertragen das komplette Adressbuch der Nutzer an Server, während sich Signal etwa mit kurzen kryptographischen Hashwerten von Telefonnummern begnügt.
Keine nennenswerten Hürden

Die Forscher zeigen jedoch, dass es mit optimierten Angriffsstrategien auch möglich ist, von diesen Prüfsummen innerhalb von Millisekunden auf die zugehörigen Telefonnummern zu schließen. Dritte könnten einfach eine große Anzahl an Konten erstellen und die Nutzerdatenbanken eines Messengers dann nach Informationen durchforsten, indem sie Daten für zufällige Telefonnummern abfragen. Nennenswerte Hürden für die Registrierung bei Chat-Diensten gebe es nicht.

Die Teams teilten ihre Erkenntnisse nach eigenen Angaben vor der Veröffentlichung mit den jeweiligen Anbietern. WhatsApp habe den Schutz daraufhin verbessert: Großangelegte Attacken erkenne der Anbieter mittlerweile. Signal habe die Anzahl möglicher Abfragen reduziert, um Crawling zu erschweren.

Die Wissenschaftler mahnen nachdrücklich, in Messengern die Datenschutzeinstellungen zu überprüfen. Zudem schlagen sie verschiedene Techniken zum Schutz vor Crawling-Angriffen vor wie etwa ein verbessertes Verfahren zur Kontaktermittlung, wodurch die Nutzbarkeit der Anwendungen nicht negativ beeinflusst würde. Ihre Resultate, die sie auf einer GitHub-Seite zusammengefasst haben, wollen sie im Februar auch auf dem 28. Annual Network and Distributed System Security Symposium (NDSS) präsentieren.

13/08/2020

Microsoft Patchday August 2020 Microsoft schließt im August 120 Sicherheitslücken
12.08.2020 | Autor / Redakteur: Thomas Joos / Peter Schmitz

Microsoft veröffentlicht auch zum Patchday im August 2020 wieder wichtige Updates für Sicherheitslücken in Windows und verwandten Produkten. Mit diesem Patchday hat Microsoft die Gesamtzahl aller Sicherheitslücken übertroffen, die im ganzen Jahr 2019 geschlossen wurde. Es ist zu erwarten, dass im ganzen Jahr 2020 weit über 1.000 Sicherheitslücken in Windows geschlossen werden.

https://www.security-insider.de/microsoft-schliesst-im-august-120-sicherheitsluecken-a-955521/?cmp=nl-36&uuid=BD0A5E3F-9C11-4C45-9889281F0DA2FF83

22/07/2020

BKA nutzt WhatsApp-Webfunktion zum Mitlesen bei Verdächtigen

Ermittler des BKA sollen die Webfunktion von WhatsApp genutzt haben, um Chats von Zielpersonen mitzulesen, brauchen dafür aber direkten Zugriff auf das Handy.
Lesezeit: 1 Min.
In Pocket speichern
vorlesen
Druckansicht
Kommentare lesen
252 Beiträge
BKA nutzt WhatsApp-Webfunktion zum Mitlesen bei Verdächtigen

(Bild: BigTunaOnline/Shutterstock.com)
21.07.2020 10:00 Uhr
Von

Eva-Maria Weiß

Anzeige

Das Bundeskriminalamt (BKA) soll sich die Webfunktion von WhatsApp zu Nutze gemacht haben. Unterlagen aus dem Ermittlungsverfahren gegen Magomed-Ali C., einen Terrorverdächtigen und Bekannten von Anis Amri, dem Breitscheidplatz-Attentäter, legen nahe, dass die Ermittler seinen Messenger mit einem eigenen Rechner synchronisiert haben, um die Chats mitzulesen.

Dem WDR und BR liegt ein internes Schreiben der Polizeibehörde vor, in dem es heißt: "Das BKA verfügt über eine Methode, die es ermöglichen kann, Text, Video-, Bild- und Sprachkurznachrichten aus einem WhatsApp-Konto in Echtzeit nachzuvollziehen." Auch die Kontakte einer Zielperson könnten darüber bekannt gemacht werden.

Es handelt sich dabei aber nicht um einen sogenannten Staatstrojaner, sondern schlicht eine Synchronisation des Messengers, für die die Ermittler zunächst einmal direkten Zugriff auf das freigeschaltete Handy eines Verdächtigen brauchen. Die Kommunikation via WhatsApp ist grundsätzlich verschlüsselt; ein Mitlesen über die Webfunktion von WhatsApp ist aber grundsätzlich jedem möglich, der einmal direkten physischen Zugriff auf das Smartphone eines Nutzers hatte.

Wie die Tagesschau berichtet, soll das BKA der Auffassung sein, es handele sich bei der Methode um eine Überwachung gemäß Paragraf 100a der Strafprozessordnung – und damit einer regulären Telekommunikationsüberwachung mit richterlicher Anordnung.
Streit um Überwachungsmethoden

Um den Einsatz von Staats- oder Bundestrojanern und ähnliche Überwachungsmaßnahmen hingegen herrscht seit Jahren Streit. Behörden fordern mehr Einsicht und Befugnisse, Bürgerrechtsorganisationen warnen vor einer umfassenden Überwachung und einer "Big-Brother-Datenbank".

Hinzu kommt Kritik, dass es ein zunehmendes Outsourcing von Überwachung durch die Polizei und Geheimdienste gibt – private Unternehmen wie Palantir, Amazon und Huawei bieten die entsprechende Software an. Wobei Amazon gerade erst erklärte, Polizei-Kooperationen bei der Gesichtserkennung auszusetzen. Ein Jahr lang steht sie nicht zur Verfügung. In dieser Zeit, so hofft Amazon, soll der US-Kongress einen regulierenden Rechtsrahmen für die Technologie schaffen.

Die c't hat bereits 2018 in einem Überblick zu Überwachungs-Apps im Handy darauf hingewiesen, dass sich per Browser-Zugriff verschafft werden kann.

03/04/2020

================================================
PCS - Professional Computer Service
Inh. D. Schwendemann
TÜV - gepr. und zertifizierter Datenschutzbeauftragter
gepr. und zertifizierter Sachverständiger
für IT - Systeme

Vorstadtstr. 19
77709 Wolfach
Tel.: 07834 - 23 800 75
Fax: 07834 - 23 800 71
Mobil: 0170 - 89 666 11
Mail: [email protected]


PCS - Wir machen das …………….

Wir sind jetzt auch mit dem Messenger Telegram erreichbar !


Wir haben die Werkstatt für sie geöffnet, nach Absprache über 0170 89 666 11 oder 07834 - 23 800 75 reparieren wir ihre EDV - Geräte.
Verbrauchsmaterial wie Tinte, Toner Papier etc. können bei uns bestellt werden. Wir bringen die Ware dann bei ihnen durch.
Leihgeräte wie Drucker oder Notebooks und PCs sind vorhanden und werden bei Ihnen dem Bedarf entsprechend aufgestellt und eingerichtet.


Zögern sie nicht, uns anzurufen oder geben sie per Mail oder Telegram ihren Wunsch durch. Wir machen das :-).


================================================

17/01/2020

https://www.techbook.de/apps/software/nsa-warnt-patch-installieren

Immer wieder entdecken Sicherheitsforscher schwere Schwachstellen in Betriebssystemen wie Windows 10. Die jüngste wurde von der NSA höchstpersönlich entdeckt und gemeldet – und sollte schleunigst per Update eliminiert werden!

21/11/2018

BSI untersucht Sicherheit von Windows 10

Das BSI nimmt derzeit die sicherheitsrelevanten Funktionen von Windows 10 unter die Lupe. Erste Ergebnisse befassen sich mit der eingebauten Telemetrie.
Von Hajo Schulz
vorlesen
Drucken
Kommentare lesen
201 Beiträge
Eingang Dienstgebäude des BSI

(Bild: Bundesamt für Sicherheit in der Informationstechnik)
Anzeige

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich auf die Fahnen geschrieben, die sicherheitskritischen Funktionen von Windows 10 einer genauen Analyse zu unterziehen. Die Untersuchungen firmieren unter dem Titel SiSyPHuS Win10 (Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10). Ihr Ziel sei es, die Sicherheit und Restrisiken für eine Nutzung von Windows 10 bewerten zu können, teilte das BSI mit. Darüber hinaus sollen Rahmenbedingungen für einen sicheren Einsatz des Betriebssystems identifiziert sowie Empfehlungen für eine Härtung und den sicheren Einsatz von Windows 10 erstellt werden.

Der erste Teilbereich der Studie, zu dem das BSI jetzt die Ergebnisse veröffentlicht hat, befasst sich mit den Telemetriefunktionen von Windows 10. Weitere Erkenntnisse der Studie will das BSI sukzessive veröffentlichen. Die Analysen umfassen unter anderem Komponenten wie das Trusted Platform Module (TPM), VBS/DeviceGuard, die Windows PowerShell, die "Application Compatibility Infrastructure", das Treibermanagement und den PatchGuard.

Send a message to learn more

21/11/2018

Immer mehr Fake Shops

Das Angebot des Online-Shops ist verlockend: Winterjacken einer Nobelmarke werden zu Schnäppchenpreisen angepriesen. 70 Prozent weniger sollen die Jacken kosten, zudem ist der Versand angeblich kostenfrei. Das „besondere November-Angebot“ der Internetplattform klingt zu schön, um wahr zu sein. Und tatsächlich entpuppt sich das Online-Outlet, das über eine professionell aufgemachte Website mit schicken Produktfotos verfügt, als Fake-Shop. Das heißt, die angebliche Markenware ist entweder minderwertig, oder bezahlte Artikel werden nicht geliefert. Von solchen Online-Shops, die Verbraucher um ihr Geld betrügen, gibt es Hunderttausende.
Thomas Klemm

Thomas Klemm

Redakteur im Ressort „Geld & Mehr“ der Frankfurter Allgemeinen Sonntagszeitung.

F.A.Z.

Noch vor einiger Zeit waren solche betrügerischen Internetgeschäfte leicht zu erkennen. Ihre Websites waren mehr schlecht als recht gemacht, viele Angaben waren schon auf den ersten Blick verdächtig. Inzwischen sind Fake-Shops aber kaum noch von vertrauenswürdigen Online-Shops zu unterscheiden. „Sie sind teilweise Kopien real existierender Websites, wirken daher seriös und lassen beim Käufer selten Zweifel an ihrer Echtheit aufkommen“, sagt Kriminaloberrat Harald Schmidt, Geschäftsführer der Polizeilichen Kriminalprävention der Länder und des Bundes. Nicht nur die Produktbilder auf den gefälschten Verkaufsplattformen wirken echt, sondern selbst die Allgemeinen Geschäftsbedingungen und das Impressum erscheinen vertrauenerweckend. Was daran liegt, dass alles von anderen Online-Shops abgekupfert ist.

Kriminalpolizei und Verbraucherschützer können noch so sehr warnen: Immer wieder fallen Deutsche auf betrügerische Internethändler herein. Sie glauben, Marken-Sportschuhe, Smartphones oder Fahrräder zu kaufen, bekommen aber nichts oder nur Ramsch für ihr Geld. Der Schaden, der daraus entsteht, ist immens. Eine Umfrage der „Marktwächter Digitale Welt“ der Verbraucherzentrale Brandenburg hat im vergangenen Juni ergeben, dass wohl mehr als vier Millionen Deutsche schon einmal einem betrügerischen Online-Shop aufgesessen sind. Viele haben es erst bemerkt, als es zu spät war: Vier von zehn Opfern erhielten ihr Geld nicht zurück, wenn sie per Vorkasse – also Überweisung oder Kreditkarte – bezahlt hatten. Etwa ein Drittel derer, die einen Bezahldienst wie Paypal nutzten, bekamen ihr Geld auch nicht erstattet.
Hochkonjunktur für die Fake-Shop-Betreiber

Allein bei den Marktwächtern melden sich jeden Monat bis zu 20 Deutsche, die um ihre Ware oder ihr Geld geprellt wurden. Fake-Shop-Opfer sollten auf jeden Fall Anzeige bei der Polizei erstatten und dafür alle Belege des Online-Kaufs mitbringen: Kaufvertrag, Bestellbestätigung oder E-Mail-Ausdrucke. Mit solchen Beweisen kann die Löschung eines Fake-Shops versucht werden. Die strafrechtliche Verfolgung von Tätern sei aber schwierig, „weil sie aus dem Ausland agieren“, sagt Kriminalpolizist Schmidt.

24/07/2017

Der neue Printer ist angekommen !!
Wir haben den neuen Posterdrucker in Köln abgeholt und können damit nun Poster in Top Qualität drucken. Mit 12 Farben inkl. RGB - Farben druckt der der Canon IPF 9400 in enormer Qualität. Und das bis zu einer Druckbreite von 152 cm. Da geht was.

21/07/2017

Mal wieder zur Weiterbildung nach Ahaus, und was soll ich sagen, es war wie immer super. Neue Ideen, perfekte Umsetzung, so wie man es halt von Tobit gewohnt ist.