Über die Zustellbestätigungen in Messengern wie Whatsapp, Signal oder Threema konnten Forscher den Standort des jeweiligen Smartphones ermitteln.

Eine Forschergruppe konnte verschiedene Standorte einer Person über die Messenger Whatsapp, Signal und Threema unterscheiden, in dem sie die Dauer der Zustellung gemessen hatte. Die bereits einem Review unterzogene Studie wurde nun als Preprint veröffentlicht.

“Wer Whatsapp, Threema und Signal nutzt, kennt den folgenden Ablauf: Nach dem Absenden einer Nachricht wird diese mit einem Häkchen markiert. Sobald die Nachricht auch bei der Empfängerin oder dem Empfänger angekommen ist, erscheint ein zweites Häkchen als Bestätigung”, heißt es in einer Pressemitteilung zu der Studie (PDF). Aus der Zeitspanne zwischen dem Erscheinen des ersten und des zweiten Häkchens könne man jedoch unter bestimmten Voraussetzungen den Aufenthaltsort des Zielhandys ermitteln.

Theodor Schnitzler war bei einem Aufenthalt in Abu Dhabi aufgefallen, dass es länger als sonst dauerte, bis eine Messenger-Nachricht nach Deutschland mit dem zweiten Haken als empfangen markiert wurde. Sie begannen das Phänomen zu untersuchen und sendeten über ein Smartphone alle zehn Sekunden eine Nachricht an Smartphones in Deutschland, den Niederlanden, Griechenland und den Vereinigten Arabischen Emiraten.

Bei ihrer Untersuchung stellten sie fest, dass es je nach Empfängerland eine charakteristische Dauer gab, bis die Zustellbestätigung auf ihrem Smartphone eintraf. Im Anschluss an ihre Analyse konnten sie bei Whatsapp und Signal mit einer Genauigkeit von 74 Prozent und bei Threema mit 84 Prozent feststellen, in welchem der untersuchten Länder sich ihr Empfangsgerät befand.

Die Forschergruppe wiederholte die Untersuchung auf lokaler Ebene in verschiedenen Städten des Ruhrgebietes und konnte auch hier eine entsprechende Zuordnung vornehmen, teils sogar mit über 90 Prozent. Zudem konnten sie aus den Daten sehr zuverlässig ermitteln, ob ein Gerät eine Internetverbindung über WLAN oder Mobilfunk herstellt.

Ohne Vorwissen würden sich die Daten jedoch nicht interpretieren lassen, betont die Forschergruppe. Zudem erhalte man bei den Messenger-Apps nur eine Zustellbestätigung, wenn der Empfänger die Nummer des Sender-Handys in den Kontakten eingespeichert habe. Die bislang unbekannten Standorte einer beliebigen Handynummer würden sich mit dieser Methode also nicht ermitteln lassen.

“Wenn man aber bereits die üblichen Standorte des Smartphones kennt – zum Beispiel, weil man weiß, wo eine Person wohnt, arbeitet oder ins Fitnessstudio geht – kann man die charakteristische Dauer der Zustellbestätigung per Software messen und später mit dem Senden einer Nachricht an die Person herausfinden, ob sie sich gerade an einem dieser Orte befindet”, erklärte Schnitzler.

Zur Lösung des Problems schlägt die Forschergruppe vor, den Nutzern die Häkchen erst mit einer zufälligen Zeitverzögerung anzuzeigen oder eine Option zu bieten, mit der Nutzer die Zustellbestätigungen deaktivieren können.

Der Beitrag Whatsapp, Threema, Signal: Messenger können Standort leaken erschien zuerst auf Linux-Magazin.

Den Messenger Threema gibt es nun in einer Libre-Variante, bei der jede Zeile Code eingesehen und die App über F-Droid bezogen werden kann.

Mit Threema Libre gibt es den Schweizer Messenger Threema nun in einer Variante, die komplett auf Open-Source-Software setzt. Diese kann über den alternativen App Store F-Droid bezogen werden.

“In Threema Libre gibt es keine einzige Zeile Code, die eine proprietäre Softwarebibliothek von Google oder anderen Drittanbietern voraussetzt”, erklärt Threema in einem Blogeintrag. So komme beispielsweise zur Benachrichtigung ausschließlich Threema Push zum Einsatz, und ein Fallback auf Googles Push-Dienst sei von vornherein unmöglich.

Um Threema Libre zu installieren, muss ein F-Droid-Client auf dem Smartphone vorhanden sein, dem Threemas F-Droid-Repository hinzugefügt werden muss. Eine entsprechende URL sowie einen QR-Code zum Scannen sind in einem FAQ-Beitrag auf der Threema-Webseite zu finden. Bei Threema Libre handelt es sich um eine eigenständige App, die zusätzlich zu dem normalen Threema-Client installiert werden kann. Um die Messenger-Apps zu nutzen, muss eine Lizenz für einmalig 5 Euro erworben werden.

Der komplette Code von Threema Libre ist öffentlich einsehbar. Dass die von Threema verteilten Pakete auch dem veröffentlichten Code entsprechen, soll mittels Reproducible Builds überprüft werden können.

Anfang des Jahres wurde bereits Threema Push in den Messenger integriert. Dabei handelt es sich um eine Threema-eigene Alternative zu Googles Push-Dienst, über den standardmäßig Push-Benachrichtigungen, beispielsweise bei neuen Nachrichten, versendet werden. Inhalte werden über Googles Push-Dienst jedoch nicht übertragen, wie Threema betont. Mit Threema Push soll es möglich sein, den Messenger “ohne Google-Dienste zu verwenden und dabei die volle Funktionalität und Benutzerfreundlichkeit beizubehalten.”

Auch vor der Einführung von Threema Push war es bereits möglich, den Messenger auf einem Google-freien Smartphone zu verwenden. Um neue Nachrichten zu erhalten, kontaktiert der Messenger dafür in regelmäßigen Abständen den Server (Polling). Dabei kann es jedoch zu Verzögerungen bei der Zustellung kommen, wenn die App im Hintergrund läuft. Zudem ist ein höherer Akku-Verbrauch möglich.

Der Beitrag Threema veröffentlicht Google-freie Open-Source-Version erschien zuerst auf Linux-Magazin.