Was Whatsapp und Signal verraten, trotz Verschlüsselung

Signal und Whatsapp verschlüsseln Nachrichten Ende-zu-Ende, was bedeutet, dass sie auf der gesamten Reise von Sender zu Empfänger verschlüsselt bleiben. Das gilt für die Inhalte. Doch andere Informationen lassen sich mit etwas Aufwand durchaus ernten; auf der IT-Sicherheitsmesse DEFCON 2025 haben am Sonntag (Ortszeit) die österreichischen Sicherheitsforscher Gabriel Gegenhuber und Maximilian Günther ihre Sidechannel- und Protokoll-Angriffe vorgestellt.

Wie sich zeigt, verraten Zustellbestätigungen Signals und Whatsapps einiges über die eingesetzten Endgeräte und deren Zustand. Zustellbestätigungen sind nicht zu verwechseln mit Lesebestätigungen, die jeder Nutzer in den Einstellungen seiner App abschalten kann. Die Zustellbestätigungen sind unabdingbar für den Dienst, damit dieser sich nicht endlos müht, bereits zugestellte Nachrichten zuzustellen.

Allein schon die Laufzeit (Round-trip Time, RTT) der Zustellbestätigung lässt mehr Rückschlüsse zu, als der Laie annehmen würde. Dauert es sehr lange, ist das Gerät offline. Doch schon Schwankungen im Sekundenbereich verraten den Zustand des Empfangsgerätes: Am schnellsten geht es, wenn die App gerade im Vordergrund ist, also wahrscheinlich benutzt wird. Langsamer geht es, wenn sie nicht im Vordergrund ist, und noch langsamer, wenn der Bildschirm aus oder der Browsertab inaktiv ist.

Diese Streuung ist noch dazu je nach Endgerätemodell, Verbindungsmethode (LAN, WLAN oder Mobilfunk) und Zustand (wird mit dem Handy gerade telefoniert oder nicht) unterschiedlich. Dem nicht genug: Die Übermittlung der Bestätigungen ist für unterschiedliche Geräteklassen unterschiedlich implementiert. So werden die Zustellbestätigungen für Whatsapp und Signal von Smartphone-Apps (Android, iOS) einzeln übermittelt, bei den Desktop-Varianten der Dienste allerdings in Gruppen – und bei Whatsapp für MacOS in gestürzter Reihenfolge.

Rückschlüsse auf Aufenthaltsort

Angreifer können sich durch Daten aus Testserien mit eigenen Geräten Datenbanken anlegen, um später von Angriffszielen gewonnene Daten abgleichen zu können. Damit ließe sich auf einen Blick sagen, was für Geräte unter einem Whatsapp- oder Signal-Konto genutzt werden und in welchem Zustand sie sich wahrscheinlich gerade befinden. Das lässt weitere Rückschlüsse zu: Ist beispielsweise ein bestimmtes Desktopgerät oder eine bestimmte Browserinstanz regelmäßig zu Bürozeiten online, kann bei eintreffenden Zustellbestätigungen unter Umständen auf den Aufenthaltsort des Zieles geschlossen werden. Umgekehrt lassen Zustellbestätigungen von einem meist nur Abends oder am Wochenende genutzten Desktoprechner auf den Aufenthalt zu Hause schließen.

Die Anzahl der unter einem Konto registrierten Geräte ist sogar noch einfacher festzustellen: Die Schlüsselserver von Whatsapp und Signal vergeben fortlaufende Nummern, wobei 0 respektive 1 das „Hauptgerät“ anzeigt. Höhere Nummern sind zusätzliche Geräte, sodass der Angreifer auch danach unterscheiden kann.

Heimliche Nachrichtenflut

Für den Erkenntnisgewinn sind allerdings Serien von Zustellbestätigungen erforderlich. Eine einzelne Messung sagt höchstens aus, ob das Gerät online ist. Würde es dem Opfer nicht auffallen, von einer Lawine an Nachrichten eingedeckt zu werden? Nein, denn es ist möglich, speziell strukturierte Nachrichten an Teilnehmer von Whatsapp und Signal zu schicken, die zwar Zustellbestätigungen auslösen, am Endgerät aber nicht angezeigt werden. Dafür haben die Forscher alternative Implementierungen der Anwendungen genutzt.

Also kann ein Angreifer eine lange Serie stiller „Pings“ an ein Ziel schicken, von dem er lediglich die Telefonnummer oder den Nutzernamen kennt, ohne dass es auffällt. Die Signal-Infrastruktur hat immerhin eine Begrenzung auf eine Nachricht alle zwei Sekunden eingebaut, bei Whatsapp konnten die Österreicher gar kein Rate Limiting ausmachen. Die Observation ist damit engmaschig über lange Zeiträume hinweg möglich.

Somit kann aus der Ferne eruiert werden, auf wie vielen Endgeräte ein Opfer sein Whatsapp- oder Signal-Konto nutzt, mit welchen Arten von Geräten und Betriebssystemen, zu welchen Uhrzeiten, und in welchem Betriebszustand diese gerade sind, samt Übertragungsmethode und vielleicht Aufenthaltsort. Das ermöglicht digitales Stalking ebenso wie die Auswahl von Malware für einen gezielten Angriff über einen anderen Kanal; zudem können die Informationen dabei helfen, einen körperlichen Überfall genau dann durchzuführen, wenn das Zielgerät entsperrt ist, was insbesondere Sicherheitsbehörden und Geheimdiensten hilft.