snapchat, whatsapp, telegram und co. - wko.at-whatsapp,-teleg… · snapchat, whatsapp, telegram...
TRANSCRIPT
Snapchat, WhatsApp, Telegram und Co.
Sicherheit von Smartphone-Messenger-Apps
Dr. Sebastian Schrittwieser
0
17,5
35
52,5
70
1996 1998 2000 2002 2004 2006 2008 2010 2012 2014
SMS Whatsapp
Statusnachrichten
https://s.whatsapp.net/client/iphone/u.php?cc=Landesvorwahl&me=Telefonnummer&s=Status
Keine Authentifizierung!
Auflistung von Whatsapp-Nutzern
• WhatsApp lädt das Adressbuch des Nutzers auf den Server
• Der Server vergleicht diese Nummern mit den bereits registrierten Nummern
• Der Server liefert alle Telefonnummern zurück, die bereits registriert sind
• Auflistung aller Nutzer möglich?
Auflistung von Whatsapp-Nutzern
• 3 österreichische Mobilfunknetze
• Nummernblöcke:
• +43664XXXXXXX
• +436991XXXXXXX
• +43676XXXXXXX
• 30 Millionen (mögliche) Telefonnummern
• WhatsApp lieferte 182.793 (aktive) Telefonnummern zurück (2011)
WhatsApp 2013/2014
Falsche Verwendung der Verschlüsselung
Unverschlüsselte Übertragung der Telefonnummer
Erzeugung unsicherer Passwörter
(A ^ X) ^ (B ^ X) = A ^ B
Berechnung aus IMEI (*#06# )
Behobe
n!
1) Bilder herunterladen
2) Bilder löschen
Sichere Messenger?
Ich habe ja nichts zu verbergen!
Ende-zu-Ende-Verschlüsselung
Quelle: https://twitter.com/matthew_d_green/status/666686731635265537
Whatsapp Facebook Messenger
Apple iMessage
Apple iMessage Google Allo Telegram
! " ! "
Standard
Verschlüsselung
"eigene
Verschlüsselung
Quelle: https://whispersystems.org
Quelle: https://whispersystems.org
Signal
✓ Ende-zu-Ende-Verschlüsselung
✓ Bewährte Verschlüsselungsalgorithmen
✓ Quelloffene Entwicklung (Code einsehbar)
✓ Entwicklerteam in IT-Security-Szene bekannt
✓ Kostenlos (Spenden und Förderungen)
✓ Ende-zu-Ende-Verschlüsselung
✓ Bewährte Verschlüsselungsalgorithmen
✗ Code nicht einsehbar
✓ Entwicklerteam in IT-Security-Szene bekannt (nur Kryptographie-Modul der App)
✗ Kostenlos, aber Sammlung und Auswertung von Metadaten durch Facebook
Messenger Metadaten
Adressbuch Verbindungen Onlinestatus
Fazit
• Viele Smartphone-Messenger schützen die Privatsphäre der Nutzer nicht ausreichend
• Unterscheidung von guten und schlechten Messenger-Apps ist schwierig
• Ende-zu-Ende-Verschlüsselung ist wichtig
• Metadaten sind ein ungelöstes Problem
• Guter Kompromiss: Whatsapp!
DI Dr. Sebastian Schrittwieser
Leiter Josef Ressel Zentrum TARGET
Vielen Dank für Ihre Aufmerksamkeit!