Heise: "Was Whatsapp und Signal verraten, trotz Verschlüsselung"

Ein interessanter Angriff mittels der Zustellbestätigungen der Messenger.

https://heise.de/-10515767

Das Paper dazu “Careless Whisper: Exploiting Silent Delivery Receipts to Monitor Users on Mobile Instant Messengers”

With over 3 billion users globally, mobile instant messaging apps have become indispensable for both personal and professional communication. Besides plain messaging, many services implement additional features such as delivery and read receipts informing a user when a message has successfully reached its target. This paper highlights that delivery receipts can pose significant privacy risks to users. We use specifically crafted messages that trigger delivery receipts allowing any user to be pinged without their knowledge or consent. By using this technique at high frequency, we demonstrate how an attacker could extract private information such as the online and activity status of a victim, e.g., screen on/off. Moreover, we can infer the number of currently active user devices and their operating system, as well as launch resource exhaustion attacks, such as draining a user’s battery or data allowance, all without generating any notification on the target side. Due to the widespread adoption of vulnerable messengers (WhatsApp and Signal) and the fact that any user can be targeted simply by knowing their phone number, we argue for a design change to address this issue.

https://arxiv.org/abs/2411.11194

So richtig bedroht fühle ich mich als Max Mustermann dadurch jetzt aber nicht … Als Promi oder Politiker könnte das anders aussehen.

Man stelle sich vor man legt dadurch offen, wie oft und lange die Bundestagsabgeordneten während Parlamentssitzungen auf Kosten der Steuerzahler auf ihren Handy herumspielen, statt ihrer Arbeit nachzugehen.

we demonstrate how an attacker could extract private information such as the online and activity status of a victim, e.g., screen on/off. Moreover, we can infer the number of currently active user devices and their operating system, as well as launch resource exhaustion attacks, such as draining a user’s battery or data allowance

Quelle: https://arxiv.org/abs/2411.11194 (Hervorhebungen nachträglich hinzugefügt)

So ganz harmlos finde ich das nicht. Und für einen Angreifer, der es auf ein Hochwertziel abgesehen hat, ist jede Information interessant.

Naja, wirklich schön ist das nicht unbedingt. Aber ist dieses „Verhalten“/„Problem“ (issue) nicht irgendwie nachvollziehbar bei „Zustellbestätigungen“? — Ich selbst würde mir auch denken, dass bei so einer Funktion das prinzipiell möglich ist…

Der Witz des Angriffs scheint zu sein, dass das Opfer von ihm nichts mitbekommt. Eine Zustell- und optional eine Lesebestätigung ist bei einer Nachricht mit Inhalt sinnvoll. Aber der Angriff provoziert ja eine Zustellbestätigung, ohne dass eine echte Nachricht übermittelt und angezeigt wird.

Und mit der stillen Zustellbenachrichtigung kann man nun über die Round-trip Time diverse Zustände der Geräte ableiten. Je nach Geräteart könnte man dann auf den Standort schließen. Nur in Zeiten wo jeder mit mobilen Geräten arbeitet ist das halt nicht so einfach. Meinen letzten PC hatte ich in den 90er Jahren des letzten Jahrhunderts, seit dem nur noch mobile Geräte, was in Zeiten von Office, HO und mobilem Arbeiten die Sache mit dem Standort nicht einfacher macht.

Der Witz ist, dass es sich um keinen Exploit handelt, sondern um eine notwendige Implementierung, welche lediglich alternativ verwendet wird und es überall gibt:

Ein ganz simples Paradebeispiel kann man in MS Teams finden: Da gibt es eine Funktion wo ich für max.16 Kontakte bei einer Statusänderung entsprechend informiert werde. Per Customizing kann man das auch nicht abschalten (z.B. wie Tastatur- und Mausbewegungen). So könnte jeder Kollege, Team- oder Abteilungsleiter etc. automatisch den Status dieser Kontakte aufzeichnen.

Teams1295×185 6.28 KB

Was könnte man da wohl auswerten? Dass das sowohl vom Datenschutz verboten ist dürfte klar sein. Arbeitsrechtlich ist der Teams Status zur Leistungs- und Verhaltenskontrolle ebenfalls nicht zulässig, d.h. es gibt dazu keine entsprechenden Urteile.

Ich persönlich finde diese Funktion in Teams wesentlich bedenklicher und realer als den Mißbrauch der Zustellbenachrichtigungen, weil die Ausnutzung sehr niederschwellig ist und unmittelbar von jedem Kollegen durchgeführt werden kann. Aus Erfahrung als BR in einer großen IT kann ich auch bestätigen, dass es durch die systematische Erfassung des Team-Status durch Mitarbeiter auch zu Mobbing bis hin zur Verleumdung von Einzelpersonen geführt hat.

Ich bin leider beruflich auf Teams angewiesen. Bisher ist mir in meinen Arbeitsbereich eines globalen Konzerns noch nichts derartiges zur Kenntnis gelangt. Aber man weiß ja nie. Wie ich schon mal schrieb, gibt es im Land der ultimativen Freiheit, von wo Teams herkommt, weitaus weniger Arbeitnehmerinnen und -nehmer-Rechte als hier. Aber auch hier scheint diese Statuskontrolle keiner Aufsichtsbehörde zu interessieren. Wenn ich fünf Minuten lang die Maus nicht bewege, ändert sich mein Status auf abwesend. Das ist in meinen Augen einfach übergriffig. Hierzulande ist das Auswerten dieser Statuslogs offiziell verboten. Aber wenn ich jemand mobben oder bossen will, gibt es andere Methoden und man nimmt die angebliche Arbeitsfaulheit nur als Vorwand. Meine simple Lösung: Einen Mouse-Jiggler, der sozusagen als zweite Maus am Rechner den Mauszeiger ganz feingranular bewegt. Man sieht es nicht mit bloßem Auge, aber wenn man nach ca 2 Minuten auf dem Bildschirm schaut und man sich den Startpunkt des Zeigers gemerkt hab, ist der Mauszeiger ganz leicht verschoben. Und damit ist mein Status immer auf anwesend.

Der Teams-Status hat rechtliche keine Verbindlichkeit zur Verhaltens- und Arbeitskontrolle und jetzt kommt das große ABER: Unabhängig von Teams sind „Mouse-Jiggler“ rechtlich äußerst problematisch, weil man damit die Mausbewegungen simuliert, um im System aktive Arbeit vorzutäuschen. Das kann als Arbeitszeitbetrug angesehen werden. Das ist eine ernsthafte Pflichtverletzung kann arbeitsrechtliche Konsequenzen bis hin zur Kündigung nach sich ziehen. Der Nachweis, dass ein Mitarbeiter einen Mouse Jiggler nutzt, ist schwer zu führen, bedarf der Zustimmung des BR, ist aber nicht ganz unmöglich.

Ich persönlich würde solche Tools nicht einsetzen.

Aus dieser Perspektive habe ich das noch nicht gesehen. Nun arbeite ich ausschließlich im Homeoffice 300 km vom Chef entfernt. Da ist die spontane Kontrolle doch etwas beschwerlich.

Um einen Mouse Jiggler zu überführen, werden meist Kombinationen aus technischen Maßnahmen wie USB-Geräte-Tracking und Prozessüberwachung einegsetzt.

Bei uns ist z.B. auf jedem Rechner Crowdstrike Falcon Sensor installiert. Damit wäre es ein Klacks einen Mouse-Jiggler zu identifizieren und können damit sogar geblockt und/oder eine Security-Policy Verletzung ausgelöst werden.

Wie gesagt, ich wäre vorsichtig. Gerade in den USA werden dank Crowdstrike immer wieder Leute gefeuert, welche einen Mouse-Jiggler eingesetzt haben.

Auf MacOS scheint man aber “Bordmittel” nutzen zu dürfen!? Zumindest hat keine der hier auf dem Firmengerät installierten Spywares/Schlangenöle irgendwas bisher angemeckert:

caffeinate – prevent the system from sleeping on behalf of a utility

Mit -disuw 1 kann ich selber steuern, wann ich den Bildschirm gesperrt haben möchte (einfach per TouchID-Taste oder Hot-Corner-Feature und in die richtige der vier Ecke wischen )

Ich habe mich mal kurz im Netz umgesehen: Laut dieser Quelle hier ist der Einsatz eines Mouse-Jigglers grundsätzlich nicht verboten: https://www.meinrecht.de/magazin/mouse-jiggler Es kommt halt darauf an. Ich persönlich täusche keine Arbeitszeit vor oder liege auf dem Kanapee beim Mittagsschläfchen, während der Rechner Aktivitäten vortäuscht. Zumal durch unsere Arbeitsprozesse mein Chef andere Möglichkeiten hat, mein Arbeitsergebnis zu überwachen. Crowdstrike ist auf unseren Arbeitsrechnern nicht installiert und auch die USB-Ports sind frei zugänglich. Aber ich werde deine Ratschläge beherzigen und entsprechend vorsichtig agieren.

Übrigens auf Rechnern in der operativen Ebene wurden Software-Mouse-Jiggler sogar mit Wissen der Arbeitgeberin eingesetzt, damit nicht die 10 Minuten Bildschirmsperre einsetzte. Die IT des Konzerns wollte für diese Rechner keine Ausnahme zulassen, da von der Stange konfiguriert. Dann kam das Update des Schlangenöls Defender und der hat die Software als unerwünscht gelöscht.

Super wenn das so klappt. Ich muss leider mit Windows 11 arbeiten.

Da steht nichts anders drin, als das was ich geschrieben habe: Wenn man es einsetzt um Arbeitszeit vorzutäuschen wird es problematisch. Um es mal plakativ zu formulieren: Ich darf zu Obi mir eine Axt kaufen, um damit Holz zu spalten, aber nicht den Kopf meines Nachbarn.

Man muss das immer aus den Augen eines Richters betrachten. Der wird sich die Frage stellen, ob man im Home Office einen Mouse-Jiggler benötigt, um seinen vetraglichen Pflichten nachzukommen eine Arbeitsleistung mittlerer Art und Güte abzuliefern. Wie soll man da als Beschuldigter argumentieren?

Der Teams-Status mag rechtlich keine Verbindlichkeit bedeuten, ob für einen relevante Personen das auch so in ihrer Entscheidungsfindung berücksichtigen, steht auf einem anderen Blatt.

Für Maus-Bewegungen könnte man allerdings auch externe mechanische Lösungen einsetzen.

Das waren mal meine Betrachtungen dazu.

Hier auch, mein bevorzugtes Arbeitsmittel, falls ich Kommunikation oder Zugriff auf Dokumente benötige, ist jedoch das Smartphone.

Ich nehme den zur Verfügung gestellten Laptop nur noch für Dinge, die sich aufgrund “gewachsener” “Lösungen” nicht am Smartphone abbilden lassen.

Andererseits erfordert meine Tätigkeit auch keinen ständig laufenden Laptop.

Ich sag/schreib immer, wenn es was wichtiges gibt, dann ruft an. Teams-Anrufe auf das Smartphone funktionier(t)en jedoch oft nicht.

Ich hatte mal einen Kollegen, den hat es fertig gemacht, per Telefon oft nicht erreichbar zu sein, nicht, weil er nicht erreichbar war, sondern es hat ihn fertig gemacht, was andere aufgrund der Nichterreichbarkeit denken konnten. Er war eben auch in Mobilfunk-schwachen Gegenden unterwegs.

Zuletzt rief er mich mal aus einem Krankenhaus an, Monate später wurde mitgeteilt, daß er verstorben sei.

Was für seinen Gehirntumor ursächlich war, ist ansich irrelevant, das Arbeitsklima war aber sicherlich nicht förderlich.

Gefühlt wird es aber nicht besser, anstatt einfach benutzbare Lösungen zur Verfügung zu stellen, wird es immer umständlicher, ohne bessere Unterstützung zu liefern.

Sicherheit ist primär zu gewährleisten, aber wenn ich Meldungen wie bei heise „Def Con 34: So einfach wird Microsofts Login-Seite zm Phishing-Service“ sehe, kommen mir immer mehr Zweifel an solchen Lösungen.

Wenn sich der Desktop sperrt, obwohl man davor sitzt, nur gerade was anderes macht, und damit eine Neuanmeldung fordert, dann stiehlt das Zeit. Ja, auch die Anmeldung ist aus Sicherheitsaspekten geforderte Arbeitsleistung, aber zumeist nur eines, absolut nervig.

Ist mit Smartphone ebenso. Wenn es denn absolut transparent funktionierte, also den Arbeitsfluß nicht behindern würde …

…, aber nein, wiederholt funktioniert es einfach nicht ohne zusätzliche weitere Schritte.

Zuerst einmal finde ich es immer wieder genial, was für Wege Leute immer wieder entdecken, mit denen man vorgesehene Prozesse auch anders benutzen kann.

Das ist wenn ich es richtig mitbekommen habe die primäre Kritik an dem aktuellen Verhalten und gleichzeitig das vorgeschlagene Verbesserungspotential eben Zustellbestätigungen nur für korrekt formatierte und damit an den Benutzer bereitgestellte Nachrichten zu verschicken.

Ich hoffe die Signal Entwickler passen die Abläufe doch noch entsprechend an.

Ich habe mir die Systeminformationen angeschaut. Tatsächlich meldet sich mein Jiggler als Maus an, dass bedeteutet, dass ich zwei Mäuse im System angemeldet habe. Also könnte die IT beim Systemscannen sehr wohl den Verdacht hegen, dass ein Maus-Jiggler zum Einsatz kommt. Aber man ist ja nicht mit dem Klammersack gepudert: Als Alternative bietet sich ein Video an, das in Dauerschleife ein Muster bewegt, das die optische Maus als Bewegung erkennt. Aber dazu muss man die Maus aufs Smartphone oder Tablet setzen. Andererseits gibt es auch den mechanischen Maus-Jiggler, quasi ein Teller, der der Maus über ein rotierendes Element ebenfalls eine Bewegung simuliert. Angeschlossen an ein USB-Ladegerät absolut nicht detektierbar.

Es geht mir hier nicht darum, Arbeitszeit zu erschwindeln. Ich führe öfters längere Gespräche am Diensthandy ohne Interaktion mit dem PC. Warum soll ich regelmäßig die Maus schubsen, damit ich als anwesend markiert werde? Meine Intension ist die Übergriffigkeit US-amerikanischer Software etwas entgegen zu setzen. Der Teams-Status hat keine Rechtsverbindlichkeit? Schön, wir wissen hier alle, dass gerade im Datenschutz Anspruch und Wirklichkeit divergieren. Das digitale ist nun mal per se intransparent. Woher weiß ich denn, dass mein Konzern die Logs nicht doch speichert und illegal auswertet? Besser wäre es, wenn Teams an europäische Verhältnisee angepasst wäre und der Status sich erst durch bewusste Änderung meinerseits ändert.

Eben darum wird der Status vor Gericht zur Verhaltens- und Leistungsbeurteilung nicht anerkannt.

Es geht ja nur um Arbeitszeitbetrüger und das ist der AG in dringenden Verdachtsfällen allgemein in der Beweislast diese Vertragsverletzung nachzuweisen, was im Home Office in den meisten Fällen nur über die gelieferten Arbeitsergebnisse möglich ist.

Ich frage mich ernsthaft, aus welchem Grund Menschen, die sich für Datenschutz interessieren und diesen für sich als wichtig erachten, solche Funktionen, wie der automatischen Status Aktualisierung, Zustell oder Lese-Benachrichtigung überhaupt aktiviert haben? Diese Funktionen lassen sich gänzlich in jedem Messanger deaktivieren, eines der ersten Dinge welches geändert wird. Immer!
Es gibt absolut keinen vernünftig als positiv wertenden Grund solche Funktionen zu aktivieren, wogegen das Missbrauchspotenzial bei Aktivierung potenziert wird.

Wer seine Arbeitszeit bzw. Pausenzeiten aufgrund eines Aktivitätsstatus vorgerechnet bekommt und mit Maus jiggler seine kurzzeitige geschäftliche Bildschirm Abwesenheit legal vortäuscht, der sollte mal mit seinem Betriebsrat Kontakt auf nehmen und nach Fragen, welcher Volltrottel auf so einen Hirnverbrannten Schwachsinn gekommen ist. Abgründe tun sich mir auf. Wer keine Betriebsrat hat, sollte direkt zum Chef und sich einen Anwalt nehmen.

Mich würde interessieren ob der Fork von Signal “Molly” auch betroffen ist???