Dass Messenger wie WhatsApp oder Signal sensible Daten transportieren, ist bekannt, doch dass bereits unscheinbare Funktionen wie Reaktionen oder Zustellbestätigungen zur stillen Überwachung missbraucht werden können, dürfte selbst viele Experten überraschen. Forschende der Universität Wien haben nämlich nun demonstriert, wie Angreifer allein mit einer Telefonnummer intime Details über den Tagesablauf, den Aufenthaltsort und sogar das verwendete Gerät eines Nutzers auslesen können.

Wie die Attacke funktioniert

Normalerweise signalisiert ein zweiter Haken oder eine kleine Bestätigung, dass eine Nachricht beim Empfänger angekommen ist. Genau diese winzigen Zeitunterschiede zwischen Versand und Empfang reichen aber aus, um ein detailliertes Profil zu erstellen. Wer ein potentielles Opfer also pausenlos mit Reaktionen bombardiert, kann anhand der Antwortzeit erkennen, ob dessen Smartphone gesperrt ist, ob es gerade entsperrt wurde oder sogar, ob die Messaging-App derzeit geöffnet ist.

Besonders perfide: Die Forschenden konnten sogar Reaktionen auf nicht existierende Nachrichten erzeugen, die zwar Zustellbestätigungen senden, aber auf dem Gerät des jeweiligen Opfers keinerlei Hinweis hinterlassen. Mit offenen WhatsApp-Clients konnten sie so bis zu 20 solcher Signale pro Sekunde senden, völlig unsichtbar und ohne Limitierung.

Was Angreifer dadurch erfahren können

Über die Analyse hunderter dieser Rückmeldungen lassen sich erstaunlich präzise Rückschlüsse ziehen – zum Beispiel:

• Smartphone-Modell (durch typische Antwortzeit-Profile verschiedener Hersteller)
• Netzwerktyp (WLAN ist meist stabil, Mobilfunk dagegen stark schwankend)
• Aktive Geräte bei Nutzung von Desktop-Clients
• Arbeits- und Wohnzeiten sowie typische Routen
• Parallele Kontakte, wenn zwei Personen gleichzeitig die App aktiv haben

Und das alles völlig ohne Malware, einzig die Telefonnummer des Opfers ist dazu nötig.

Zusätzlich könnten Angreifer die Technik missbrauchen, um massenhaft Datenverkehr zu erzeugen. Im Extremfall frisst das Angriffsmuster nämlich bei WhatsApp bis zu mehrere Gigabyte pro Stunde sowie auch zweistellige Prozentzahlen an Akkuladung – ohne, dass das Opfer jemals eine sichtbare Nachricht erhält.

Reaktionen der Unternehmen

Obwohl die Schwachstelle bereits 2024 gemeldet wurde, reagierte weder Meta noch Signal zeitnah. WhatsApp führt inzwischen eine Funktion ein, die unbekannte Accounts mit hohem Nachrichtenvolumen blockiert, ob sie diese spezielle Angriffsmethode stoppt, bleibt jedoch bislang offen.

Bei Signal können Nutzer zumindest verhindern, über ihre Telefonnummer auffindbar zu sein. Eine vollständige Deaktivierung der Zustellbestätigungen ist jedoch auch hier nicht möglich, da diese technisch notwendig sind.

Fazit

Dieses potentielle Angriffsmuster zeigt, wie leicht eigentlich scheinbar harmlose Komfortfunktionen zur umfassenden Überwachung missbraucht werden können. Messenger-Betreiber sollten hier also dringend nachbessern, denn das Problem wäre technisch vergleichsweise einfach zu lösen. Eine mögliche und simple Lösung wäre es nämlich, vor dem Senden von Zustell- oder Lesebestätigungen einen stets zufälligen Zeitversatz einzubauen und damit diese Art der Profilbildung wirkungsvoll zu unterbinden.