Snapchat, WhatsApp, Telegram und Co.

Sicherheit von Smartphone-Messenger-Apps

Dr. Sebastian Schrittwieser

0

17,5

35

52,5

70

1996 1998 2000 2002 2004 2006 2008 2010 2012 2014

SMS Whatsapp

Statusnachrichten

https://s.whatsapp.net/client/iphone/u.php?cc=Landesvorwahl&me=Telefonnummer&s=Status

Keine Authentifizierung!

Auflistung von Whatsapp-Nutzern

• WhatsApp lädt das Adressbuch des Nutzers auf den Server

• Der Server vergleicht diese Nummern mit den bereits registrierten Nummern

• Der Server liefert alle Telefonnummern zurück, die bereits registriert sind

• Auflistung aller Nutzer möglich?

Auflistung von Whatsapp-Nutzern

• 3 österreichische Mobilfunknetze

• Nummernblöcke:

• +43664XXXXXXX

• +436991XXXXXXX

• +43676XXXXXXX

• 30 Millionen (mögliche) Telefonnummern

• WhatsApp lieferte 182.793 (aktive) Telefonnummern zurück (2011)

WhatsApp 2013/2014

Falsche Verwendung der Verschlüsselung

Unverschlüsselte Übertragung der Telefonnummer

Erzeugung unsicherer Passwörter

(A ^ X) ^ (B ^ X) = A ^ B

Berechnung aus IMEI (*#06# )

Behobe

n!

1) Bilder herunterladen

2) Bilder löschen

Sichere Messenger?

Ich habe ja nichts zu verbergen!

Ende-zu-Ende-Verschlüsselung

Quelle: https://twitter.com/matthew_d_green/status/666686731635265537

Whatsapp Facebook Messenger

Apple iMessage

Apple iMessage Google Allo Telegram

! " ! "

Standard

Verschlüsselung

"eigene

Verschlüsselung

Quelle: https://whispersystems.org

Quelle: https://whispersystems.org

Signal

✓ Ende-zu-Ende-Verschlüsselung

✓ Bewährte Verschlüsselungsalgorithmen

✓ Quelloffene Entwicklung (Code einsehbar)

✓ Entwicklerteam in IT-Security-Szene bekannt

✓ Kostenlos (Spenden und Förderungen)

Whatsapp

✓ Ende-zu-Ende-Verschlüsselung

✓ Bewährte Verschlüsselungsalgorithmen

✗ Code nicht einsehbar

✓ Entwicklerteam in IT-Security-Szene bekannt (nur Kryptographie-Modul der App)

✗ Kostenlos, aber Sammlung und Auswertung von Metadaten durch Facebook

Messenger Metadaten

Adressbuch Verbindungen Onlinestatus

Fazit

• Viele Smartphone-Messenger schützen die Privatsphäre der Nutzer nicht ausreichend

• Unterscheidung von guten und schlechten Messenger-Apps ist schwierig

• Ende-zu-Ende-Verschlüsselung ist wichtig

• Metadaten sind ein ungelöstes Problem

• Guter Kompromiss: Whatsapp!

DI Dr. Sebastian Schrittwieser

Leiter Josef Ressel Zentrum TARGET

sebastian.schrittwieser@fhstp.ac.at

Vielen Dank für Ihre Aufmerksamkeit!