Messenge am Smartphone: Schwachstelle Kontaktabgleich
Einen besseren Schutz der persönlichen Kontakte am Smartphone – und damit von sensiblen Daten – wollen Kryptografie-Experten der TU Graz erreichen. Gemeinsam mit Kollegen der TU Darmstadt haben sie ein Verfahren entwickelt, das bei der Installation eines Messenger-Dienstes den Adressbuch-Datenabgleich sicherer macht. Für diese Entwicklung wurde die Forschungsgruppe beim Deutschen IT-Sicherheitspreis mit dem zweiten Platz ausgezeichnet, teilte die TU Graz mit.
Die Installation eines Messenger-Dienstes am Smartphone, mit dem man Sprachnachrichten, Videos und Bilder verschicken kann, geht einfach: Als Nutzer muss man der App nur rasch die Erlaubnis erteilen, auf das bisherige Telefon-Adressbuch zuzugreifen. Der Dienstanbieter gleicht die Telefon-Adressbücher mit seiner eigenen Kontakt-Datenbank ab (Schnittmengenberechnung) und aktualisiert sie durch regelmäßige Zugriffe immer wieder. Bei diesem Prozess werden derzeit die kompletten Adressbücher auf die Server des Dienstanbieters hochgeladen. Dann werden die gemeinsamen Kontakte zwischen Dienstanbieter und Nutzer mittels Schnittmengenberechnungen ermittelt. Bei diesem Vorgang kann es auch zu unerwünschten Zugriffen auf die Kontaktinformationen kommen.
Hacker können große Mengen an Daten sammeln
Vielen Menschen ist das Risiko für die Verletzung der Privatsphäre gar nicht bewusst: Böswillige Nutzer bzw. Hacker können im großen Stil Daten sammeln, wie die Forscher aus Graz und Darmstadt bereits erhoben haben. Daraus lassen sich beispielsweise Verhaltens- und Kontaktmuster verfolgen. Vom „Mobile Contact Discovery“-Prozess ist zudem auch die Privatsphäre jener Personen betroffen, die im Telefonbuch gespeichert sind und den jeweiligen Messenger gar nicht installiert und deren Kontaktinformationen ungefragt übertragen werden, wie der Grazer Cybersecurity-Experte Christian Rechberger darlegte.
„Es gibt derzeit noch keine zufriedenstellenden Lösungen für ein Kontaktermittlungsverfahren mobiler Messenger-Dienste. Alle bisherigen Möglichkeiten sind entweder komplett unsicher oder bieten zumindest keinen nennenswerten Schutz“, fasste Rechberger die Herausforderung für Entwickler zusammen. Rechberger lehrt am Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz und ist zugleich Area Manager für Data Security am Grazer Know-Center. Gemeinsam mit seinem Institutskollegen Daniel Kales sowie Forschern der TU Darmstadt hat er eine neue Methode der Kontaktermittlung ermittelt. Sie soll Privatsphäre-Gefahren und kritische Szenarien wie beispielsweise das Ausspionieren von Kontakten, den Weiterverkauf von Daten und die Auswertung sensitiver Beziehungen signifikant einschränken bzw. komplett vermeiden.
Sicherheit dank kryptografischer Protokolle
Die Forscher haben für ihr Projekt „ContactGuard“ kryptografische Protokolle entwickelt, die um ein Vielfaches effizienter und sicherer sein sollen als bisherige Ansätze. Beidseitige Datenverschlüsselung soll verhindern, dass sensitiven Daten aus den Adressbüchern preisgegeben werden. Im Prinzip wird die verschlüsselte Datenbank des Dienstanbieters – dank einer eigens von den Forschenden entwickelten Komprimierungstechnik – ressourcenschonend an den Nutzer gesendet und am Mobiltelefon gespeichert. Die Adressbucheinträge werden wiederum mit dem geheimen Schlüssel des Dienstanbieters verschlüsselt, jedoch ohne dass die Nutzer den geheimen Schlüssel einsehen können. Umgekehrt hat der Dienstanbieter keine Informationen über die Adressbucheinträge der Nutzer.
Moderne Sicherheits-Chips der meisten Smartphone-Modelle der vergangenen sieben Jahre steigern laut Rechberger die Effizienz der kryptografischen Berechnungen ums Vielfache. Bei der erstmaligen Registrierung könne es durch die kryptografischen Berechnungen und Datenübertragungen zu einer gewissen Latenz kommen. „Diese liegt aber selbst in Mobilfunknetzen für die Synchronisierung von bis zu 1.000 Kontakten im Bereich von wenigen Sekunden“, so Rechberger. Er hofft, dass die globalen Datenschutzgesetze im Sinne einer stärkeren Privatsphäre mittelfristig nachschärft und damit die Anbieter von Messenger-Diensten zum Handeln bewegt werden. Das Preisgeld in der Höhe von 60.000 Euro wollen die Forscher – im Sinne des Stifters – zur Weiterentwicklung der Sicherheitssoftware bis hin zur Marktreife einsetzen.