Breadcrumbs
- IT Security
- Bachelorarbeiten
- State of union Smartphone Messenger Security in 2015
State of union Smartphone Messenger Security in 2015
Bachelor-Studiengang IT SecurityChristoph Rottermanner, BSc
18.09.2015
Ausgangslage
In den letzten Jahren wurden viele neue Applikationen für die Kommunikation am Smartphone entwickelt. Bei der Entwicklung dieser Lösungen wird das Thema Sicherheit jedoch oft außer Acht gelassen, wodurch die Privatsphäre der NutzerInnen massiv beeinträchtigt werden kann. Dazu kommt das Thema Überwachung: Spätestens seit dem NSA-Skandal ist bekannt, wie einfach sämtliche Kommunikation mitgeschnitten werden kann. Zusätzliche Mängel bei der Verschlüsselung ließen die Nachfrage für sichere Kommunikationswege weiter ansteigen.
Ziel
Das Ziel dieser Arbeit war, gängige Sicherheitslücken bei bekannten und weit verbreiteten Messengern zu evaluieren. Ein weiterer Punkt beinhaltete die Suche nach neuen, bisher unbekannten Schwachstellen. Darüber hinaus sollte analysiert werden, welche privaten Informationen an die AnbieterInnen übermittelt werden und ob ausreichende Maßnahmen zum Schutz der Privatsphäre von den BenutzerInnen implementiert wurden. Zu guter Letzt wurden die angeforderten Berechtigungen von Smartphone-Anwendungen untersucht, um möglichen Missbrauch oder Überwachungstätigkeiten aufzudecken.
Ergebnis
Die Evaluierung der Applikationen ergab, dass gewisse Schwachstellen weiterhin stark verbreitet sind. Dadurch war es etwa möglich, fremde BenutzerInnenkonten für die Applikationen WeChat, WhatsApp, TextSecure und Telegram zu übernehmen. Nur die Anwendung Line war von dieser konkreten Schwachstelle nicht betroffen. Des Weiteren konnten unerwünschte Nachrichten mittels SMS verschickt und Anrufe über die entsprechenden Applikationen getätigt werden. Durch das Abfragen von Telefonnummern war es darüber hinaus möglich, eine große Anzahl von NutzerInnen zu ermitteln.
Ein weiteres Sicherheitsrisiko stellte die Übermittlung von Daten mittels des unsicheren Protokolls HTTP dar. Während sichere Implementierungen die Modifikation der Absenderkennung und der Statusnachricht verhinderten, waren andere Messenger auch hier anfällig für Manipulation. Abschließend konnte belegt werden, dass viele BenutzerInnen leichtsinnig sensible Daten übertragen und sich die meisten Anbieter nicht für die Privatsphäre der NutzerInnen einsetzen.
Ausblick
Wie die Resultate zeigen, bestehen auch in modernen Messengern noch einige Sicherheitslücken, welche dringend behoben werden müssen. Außerdem sollten die BetreiberInnen mehr Augenmerk auf die Implementierung von Einstellungen zum Schutz der Privatsphäre legen. Weiterhin wäre es notwendig, die benötigten Applikations-Berechtigungen stärker zu beschränken und die Übermittlung von privaten Daten zu vermeiden.
FH-Betreuer: Dipl.-Ing. Dr. Sebastian Schrittwieser