MitmenschRöhre - PeerTube auf Deutsch

Man kann mit Ping-Nachrichten, die im Client vom Empfänger nicht sichtbar sind, anhand der Zustell-Bestätigungen und Zeitunterschieden bei diesen Dinge abschätzen wie, nutzt die Person gerade Desktop/Mobile, Browser/app, welche Geräte hat die Person? Welche sind gerade aktiv? Wird gerade aktiv auf die App geschaut? Damit kann man Profile von Aktivitätsmustern erstellen, abschätzen ob jemand gerade zu Hause ist oder nicht.

Hat man mehrere Geräte, z.B. weiß der Angreifende, dass man auf Arbeit einen Mobile-Client und zu Hause einen Desktop-Client benutzt, dann kann daraus auch geschlossen werden wann man wo war.

Für WhatsApp wird erwähnt, dass durch gezieltes spammen von solchen Trash-Ping-Nachrichten Datenvolumen und Akku bewusst aufgebraucht werden kann. Erwähnt werden 13GB pro Stunde bei einem dedizierten Angriff. Grund ist: Ende-zu-Ende-Verschlüsselung ermöglicht hier, dass erst wenn solche Nachrichten vom eigenen Client bereits heruntergeladen wurden, diese als Trash aussortiert werden können - Server zwischendrin bemerken zu Recht ja nicht, was genau in der Nachricht steckt.

Maßnahmen-Vorschläge sind: Automatische, zufällige Verzögerungszeiten einbauen in die Bestätigungen, um die Rückschlüsse zu erschweren/unmöglich zu machen, und automatisches Blockieren von unbekannten Nummern/Accounts standardmäßig zu ermöglichen.

Der Exploit wurde letztes Jahr im September entdeckt und an die Betreiber weitergereicht. Laut Video gab es noch keine offiziellen Äußerungen, weder von Meta noch der Stiftung hinter Signal, dazu.