Trends & News | News

WhatsApp: Massenhafte Überwachung der Nutzer via Online-Status

Der beliebte Smartphone-Messenger WhatsApp erlaubt es seinen Nutzern nicht, den eigenen Online-Status konsequent zu verbergen. Die dazu vorhandenen Optionen beziehen sich nur auf die vom Anwender gesetzten Status-Texte wie „Bin gerade beschäftigt“ und wann man zuletzt online war. Wer jedoch die Telefonnummer eines WhatsApp-Nutzers hat, kann jederzeit überprüfen, ob dieser online ist oder nicht. Wie einfach damit das dauerhafte Überwachen von Personen ist, zeigt eine Untersuchung der Universität Erlangen-Nürnberg.

Die Forscher überwachten 1000 zufällig ausgesuchte WhatApp-Nutzer über einen Zeitraum von neun Monaten hinweg. Obwohl eine begrenzte Anzahl von Endgeräten Statusinformationen von einer derartigen Menge von Nutzern über den gesamten Zeitraum sammelte, machte WhatsApp keine Anstalten, dieses Verhalten zu unterbinden. Anhand der von den Forschern veröffentlichten Daten kann man sekundengenau nachvollziehen, wann ein Nutzer online war.

Ist jemand erreichbar, obwohl er eigentlich unabkömmlich sein sollte oder umgekehrt, kann dies schnell zu Verdachtsmomenten führen. So werden laut der italienischen Vereinigung der Scheidungsanwälte in vierzig Prozent aller Scheidungsprozesse, denen Ehebruch zugrunde liegt, WhatsApp-Nachrichten als Beweis für Untreue angeführt. Den Chef hingegen interessiert eher, wie viel Zeit seine Mitarbeiter während der Arbeitszeit damit verbringen, auf ihr Smartphone zu schauen. (fab)

Sicherheitssiegel als Gefahr

Eine Studie von Forschern der Universität Leuven in Belgien und der Stony Brook University in New York hat Anbieter von Sicherheitssiegeln für Webseiten unter die Lupe genommen. Die Siegel kosten typischerweise zwischen 50 und über 2000 US-Dollar im Jahr und sollen einer Webseite bescheinigen, sicher und vertrauenswürdig zu sein. Bei ihrer Analyse gelangten die Forscher zu der Einschätzung, dass die Siegel eher schaden als nützen.

Sie untersuchten neun Websites jeweils acht Stunden lang. Auf sieben der neun Server fanden sie schwerwiegende Sicherheitslücken. Den automatischen Tests der Siegel-Anbieter ging dabei von SQL-Injection-Lücken über Cross Site Scripting (XSS) bis hin zu Cross-Site Request Forgery (CSRF) viel durch die Lappen. Darüber hinaus bauten die Forscher eine Webseite mit einer ganzen Reihe von eingebauten Sicherheitslücken und kauften acht verschiedene Sicherheitssiegel für die Seite. Alle acht Anbieter fanden weniger als die Hälfte der Lücken. Nur wenige fanden den über die Webseite an Besucher verteilten Trojaner, obwohl es sich um lange bekannten Schadcode handelte. Zwei Dienste fanden gar keine Lücken.

Zu allem Überfluss können Siegel auch eine Gefahr für Webseiten sein. Hat eine Webseite einen Sicherheitstest bestanden, bekommt sie ein Siegel, das als Icon auf der Seite angezeigt wird, aber auf dem Server des Siegel-Ausstellers liegt. Fällt die Seite später durch einen der regelmäßigen Nachtests, wird das Icon nicht etwa ganz entfernt, sondern der Siegel-Anbieter ersetzt es in der Regel durch ein transparentes Bild. Ein Angreifer könnte also einfach die Siegel auf Hunderten von Websites überwachen. Wird eines transparent, weiß er, wo wahrscheinlich ein akutes Sicherheitsproblem vorliegt. (fab)

Microsofts Update-Debakel

Am Dezember-Patchday hat Microsoft insgesamt 24 Sicherheitslücken mit sieben verschiedenen Patch-Paketen geschlossen. Die von HPs Zero Day Initiative (ZDI) gemeldete kritische Lücke im Internet Explorer, von der Microsoft laut ZDI schon seit einem halben Jahr weiß, blieb dabei offen.

Allerdings musste Microsoft im Anschluss an den Patchday drei Updates wieder zurückziehen. Dazu gehörte ein parallel veröffentlichtes Rollup-Update für Exchange Server 2010 SP3. Es führte zu Problemen mit Outlook und wurde genauso zurückgezogen wie die Patchday-Updates für die Root-Zertifikate in Windows 7 und Silverlight. Das Zertifikatsupdate legte auf betroffenen Rechnern Windows Update komplett lahm, sodass keine weiteren Patches installiert werden können. Zusätzlich hatten Nutzer Probleme mit einem Update für Office 2010, welches es verhinderte, dass ActiveX-Steuerelemente korrekt angezeigt werden konnten.

Microsoft hat die meisten Probleme mit späteren Updates behoben. Lediglich Windows-7-Nutzer, die nach dem Zertifikats-Patch keine Aktualisierungen mehr bekommen, müssen den fehlerhaften Patch manuell deinstallieren (siehe c’t-Link).

In letzter Zeit häufen sich die Probleme mit Microsofts Updates. Für eine Absicherung der Krypto-Infrastruktur SChannel brauchte die Firma jüngst drei Anläufe. Und auch im August hatte Microsoft vier Patches zurückgezogen, nachdem diese Probleme beim Anzeigen der Schriften und Abstürze ausgelöst hatten. (fab)

Sicherheits-Notizen

Adobe hat am Dezember-Patchday kritische Sicherheitslücken in Flash, Reader und Acrobat geschlossen. Im Application-Server ColdFusion wurde ein Loch gestopft, durch den Angreifer das System lahmlegen können.

Die Entwickler der X.Org Foundation haben 13 Sicherheitslücken im X-Server geflickt. Die älteste stammt von 1987.

Eine Sicherheitslücke in den DNS-Servern BIND, PowerDNS und Unbound kann missbraucht werden, um die Server in eine Endlosschleife zu versetzen. Entsprechende Updates stehen bereit.

Java-Spezialist Adam Gowdiak hat mehr als dreißig Lücken in der Java-VM der Google App Engine gefunden. Patches stehen noch aus.

Artikel kostenlos herunterladen

weiterführende Links