Wenn jemand im Telekom-Netz von einer inländischen oder ausländischen Nummer angerufen wird, die in einer Datenbank als unseriös oder betrügerisch erfasst ist, dann erscheint auf dem Smartphone-Display den Angaben zufolge der Hinweis „Vorsicht, möglicher Betrug!“.

Vodafone ist voraus, O2 lässt auf sich warten

Vodafone hat ein ähnliches Warnsystem bereits im Mai aktiviert, seither hat dieser Spam-Warner Firmenangaben zufolge bereits 50 Millionen Mal Alarm geschlagen. Nur 12 Prozent der Anrufe werden trotzdem angenommen, bei anonymen Anrufen – also wenn keine Nummer im Display erscheint – liegt die Annahmequote bei 60 Prozent.

Die Anrufe, bei denen vorher der Betrugshinweis sichtbar war, dauerten laut Vodafone in 90 Prozent der Fälle weniger als 30 Sekunden – also sehr kurz, was ein gutes Zeichen ist: Vermutlich waren die allermeisten Angerufenen auf der Hut und legten ruckzuck wieder auf, noch bevor der Betrüger seine rhetorischen Winkelzüge vollziehen konnte. Die Betrugsanrufe kamen nicht nur aus Deutschland, sondern besonders häufig auch aus den Niederlanden, aus Österreich, Italien und dem Vereinigten Königreich.

Betrüger wollen Bankdaten oder Passwörter

„Betrüger sind oft sehr geschickt darin, Vertrauen aufzubauen – sei es durch vermeintliche Gewinnspiele oder Umfragen“, warnt Marc Atkins, Leiter der Cyber-Sicherheitszentrale von Vodafone Deutschland. Solche Methoden dienten häufig dazu, sensible Informationen wie Bankdaten oder Passwörter zu erlangen. „Seien Sie skeptisch und geben Sie keine persönlichen Daten am Telefon preis“, warnt der Sicherheitsexperte.

Der dritte etablierte Handynetz-Betreiber in Deutschland, O2 Telefónica, hat noch kein solches Betrugswarnsystem für seine Kundinnen und Kunden aktiviert.

(afl)

Der belarussische Geheimdienst KGB hat offenbar über Jahre hinweg eine maßgeschneiderte Spionagesoftware mit dem Namen ResidentBat genutzt, um Journalisten und Oppositionelle lückenlos zu überwachen. Das deckten das Digital Security Lab (DSL) von Reporter ohne Grenzen (RSF) und die osteuropäische Organisation Resident.NGO auf. Für den belarussischen Apparat ist die Enttarnung ein schwerer Schlag, da die forensische Analyse der Software tiefe Einblicke in die Überwachungspraxis eines der repressivsten Regime weltweit erlaubt.

Hochpreisige Spyware wie Pegasus, Predator oder Candiru nutzt Schwachstellen in Betriebssystemen aus, um Endgeräte aus der Ferne zu infizieren. ResidentBat ist laut der Analyse auf einen physischen Zugriff angewiesen. Die Infektionskette, die RSF rekonstruieren konnte, liest sich wie ein Drehbuch für einen Agenten-Thriller: Eine betroffene Person wurde zu einer Befragung in die Räumlichkeiten des KGB vorgeladen. Vor Beginn des Verhörs musste sie das Smartphone in einem Schließfach deponieren. Während der Inquisition wurde die Person aufgefordert, bestimmte Inhalte auf dem Handy vorzuzeigen; sie entsperrte es vor den Augen der Beamten.

Die Experten gehen davon aus, dass die Sicherheitskräfte die PIN-Eingabe beobachteten, das Gerät später heimlich aus dem Fach nahmen und die Spyware manuell installierten. Da ResidentBat als legitime System-App getarnt ist, bleibt sie für Laien nahezu unsichtbar. Einmal aktiv, gewährt sie den Angreifern fast totale Kontrolle: Die Malware kann Anrufprotokolle auslesen, SMS und lokal gespeicherte Dateien kopieren sowie Mikrofonaufnahmen und Bildschirmaufzeichnungen anfertigen.

Besonders brisant: Auch Nachrichten aus eigentlich verschlüsselten Messengerdiensten wie WhatsApp, Signal oder Threema sind vor dem Zugriff nicht sicher, da die Spyware die Inhalte direkt am Endgerät abgreift, bevor sie verschlüsselt werden.

ResidentBat ist schon etwas älter

Die forensische Untersuchung zeigt, dass Minsk diese Technik nicht erst seit Kurzem nutzt. Durch den Abgleich von Code-Fragmenten auf Antiviren-Plattformen stießen die Analysten auf Versionen, die bis ins Jahr 2021 zurückreichten. Das deutet darauf hin, dass das Regime seit mindestens vier Jahren eine verlässliche Infrastruktur zur digitalen Verfolgung unterhält. Wer genau hinter der Entwicklung von ResidentBat steckt, bleibt unklar. Englische Zeichenketten im Quellcode legen nahe, dass es sich bei der Ausgangsbasis um ein kommerzielles Produkt handeln könnte, das für den internationalen Markt oder von einem externen Dienstleister entwickelt wurde.

RSF-Geschäftsführerin Anja Osterhaus sieht in dem Fund eine Bestätigung für die Forderung der zivilgesellschaftlichen Organisation nach einem weltweiten Verbot invasiver Spionagetechnologien. Solche Werkzeuge seien mit Menschenrechten schlicht nicht vereinbar. In Belarus ist der Einsatz solcher Software laut RSF Teil einer systematischen Unterdrückung: Mit 33 inhaftierten Medienschaffenden und Platz 166 auf der Rangliste der Pressefreiheit gehört das Land zu den gefährlichsten Orten für Journalisten weltweit.

Es geht auch ohne teure Exploits

Die Enthüllung hat bereits konkrete Auswirkungen für die Sicherheit von Android-Nutzern. Das DSL hat seine Erkenntnisse mit Google geteilt. Der Tech-Gigant kündigte an, betroffene Nutzer, die als Ziele staatlicher Akteure identifiziert wurden, über spezielle Warnungen über „regierungsgestützte Angriffe“ zu informieren.

Für die Betroffenen in Belarus ist das nur ein kleiner Trost. In einem Land, in dem bereits das Mitführen eines Smartphones zur Gefahr wird, zeigt der Fall ResidentBat vor allem eines: Auch ohne technische Geniestreiche und teure Sicherheitslücken kann ein Geheimdienst die Privatsphäre seiner Bürger eliminieren, sobald er die physische Kontrolle über die Hardware erlangt. Rufe nach einem Bann von Spyware gibt es in der EU seit diverser Skandale rund um solche Staatstrojaner. Getan hat sich seitdem wenig. Die EU-Kommission musste jüngst sogar einräumen, dass substanzielle Fördergelder an Spyware-Hersteller geflossen sind.

(cku)

Der Messenger WhatsApp und auch Signal verraten durch Laufzeiten für Nachrichtenbestätigungen viel über die Nutzer. Eine Proof-of-Concept-Implementierung zeigt das Problem auf und ermöglicht, aus diesen Meta-Informationen etwa Nutzerprofile zu erstellen. Eingeschränkte Abhilfe ist jedoch möglich.

Basierend auf einem Forschungspapier der Universität Wien (erstmals im November 2024 vorgestellt) steht jetzt eine Proof-of-Conecpt-Implementierung (PoC) mit dem Namen „WhatsApp-Device-Activity-Tracker“ auf GitHub bereit. Sie missbraucht die Empfangsbestätigungen, die Messenger wie Signal oder WhatsApp als Reaktion auf Nachrichten senden. Durch die Messung der Laufzeiten lassen sich Rückschlüsse auf die Nutzerinnen und Nutzer ziehen. Der PoC nutzt dabei sorgsam präparierte Nachrichten, die solche Empfangsbestätigungen auslösen, ohne dass Nutzer etwas davon mitbekommen.

Die Messung der sogenannten Rundlaufzeit (Round-Trip-Time, RTT) der WhatsApp-Empfangsbestätigungen erlaubt festzustellen, wann Nutzer ihr Gerät aktiv nutzen, wann es im Standby- oder Idle-Modus ist, mögliche Standortänderungen anhand von mobilen Daten oder WLAN und schließlich im Zeitverlauf das Anlegen und Erkennen von Aktivitätsmustern. Das stellt einen potenziell tiefgreifenden Eingriff in die Privatsphäre dar und lässt sich zur Überwachung missbrauchen, schlussfolgern die Programmierer des PoC.

Proof-of-Concept für WhatsApp – und möglicher Schutz

Der Proof-of-Concept führt diese Angriffe für WhatsApp vor. Zwei Sondierungsmethoden setzt er um: Die eine schickt eine Lösch-Anforderung für eine nicht existierende Message-ID, die andere sendet ein Reaktions-Emoji für eine nicht existierende Message-ID. Der PoC misst die Zeit zwischen dem Absenden der Nachricht und dem Empfang der ACK-Nachricht vom Client (Acknowledge, also die „Bestätigung“ vom Opfer). Den Gerätestatus berechnet die Software anhand der Abweichung vom Median der Rundlaufzeit – unter 90 Prozent des Medians deutet auf aktive Gerätenutzung hin. Das Tool legt einen Verlauf an, wodurch es den Median fortwährend anpasst und so auch geänderte Netzwerkumgebungen berücksichtigt.

WhatsApp kennt eine Konfigurationsoption, mit der sich Nutzerinnen und Nutzer zumindest ein Stück weit vor solchen Attacken schützen können. In WhatsApp müssen sie dazu das Symbol mit den drei übereinander gestapelten Punkten oben rechts in der Ecke auswählen und dort auf „Einstellungen“ tippen. Weiter geht es über „Datenschutz“ weit unten zu „Erweitert“. Das Aktivieren von „Nachrichten von unbekannten Konten blockieren“ führt dazu, dass WhatsApp „Nachrichten von unbekannten Konten“ blockiert, „wenn sie eine bestimmte Anzahl überschreiten“. Da es keinen Hinweis dazu gibt, wie hoch diese Anzahl an Nachrichten ist, liefert das jedoch keinen umfassenden Schutz. Für Signal nennen sie keine Einstellung, die Abhilfe schaffen könnte.

Die Autoren weisen explizit darauf hin, dass das naheliegende Deaktivieren von Empfangsbestätigungen bei herkömmlichen Nachrichten helfe, jedoch nicht vor dieser speziellen Attacke schütze. „Stand Dezember 2025 bleibt diese Schwachstelle in WhatsApp und Signal missbrauchbar“, führen sie aus. Damit sind WhatsApp und Signal in der Pflicht, zügig eine Aktualisierung zu veröffentlichen, die diese Attacken verhindert.

Wir haben sowohl bei Signal als auch bei WhatsApp nachgefragt, ob und wann die Organisationen das Problem lösen wollen. Von WhatsApp kam umgehend eine KI-generierte Antwort, in der kein Zeitraum genannt und keine Aussage zu möglichen Problemlösungen genannt wurde. Auch zu der Anzahl von Nachrichten, bis die Sicherheitsfunktion weitere Anfragen blockiert, bleibt die Reaktion unkonkret: Dies hängt „von verschiedenen Faktoren ab, wie z.B. der Art der Nachrichten und dem Verhalten des Angreifers. Wir können Ihnen keine spezifische Zahl nennen, da dies von Fall zu Fall variieren kann.“

Grundsätzlich arbeitet WhatsApp an der Verbesserung der Privatsphäre. Ende April haben die Entwickler etwa die Funktion „Advanced Chat Privacy“ vorgestellt.

(dmk)