Facebook nimmt es mit dem Datenschutz nicht so genau. Das ist kein Geheimnis. Neu ist allerdings, dass der Facebook Messenger wirklich unsicher ist. Zwei Sicherheitsexperten haben herausgefunden, dass der Dienst bei der Link-Vorschau massive Daten abgreift. Dagegen ist WhatsApp viel sicherer.
Gerade WhatsApp ist in den vergangenen Jahren immer wieder wegen Datenschutz-Problemen in die Kritik geraten. Doch wie unsicher ist der beliebte Messenger wirklich? Gibt es vielleicht Alternativen und Konkurrenten, die noch unsicherer sind?
Zumindest bei einer neuen Studie, welche Möglichkeiten zum Missbrauch in der Link-Vorschau untersucht, steht der Messenger überraschenderweise vorbildlich dar.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Social Media und PR Specialist (m/w/d) BeA GmbH in Ahrensburg |
||
Social Media Manager B2B (m/w/d) WM SE in Osnabrück |
Ganz anders sieht es allerdings bei den anderen beiden zu Facebook gehörenden Chat-Diensten aus: dem Facebook Messenger und Instagram Direct, die Firmenchef Mark Zuckerberg kürzlich zusammengeführt hat.
Facebook Messenger: So sorgt die Link-Vorschau für Probleme
Die Link-Vorschau ist in fast allen Messengern eine grundlegende Funktion – und das aus gutem Grund. Sie sorgt dafür, dass im Chat geteilte Links auch eine Vorschau erhalten – wir Bilder und Texte also leicht mit unseren Freunden teilen können.
Leider können sich bei der Link-Vorschau auch Probleme ergeben, wie die beiden Sicherheitsexperten Talal Haj Bakry und Tommy Mysk in einer aktuellen Untersuchung zeigen.
Die Experten haben sich angesehen, wie verschiedene Messenger mit Link-Previews umgehen. Der sichere Weg ist, wenn Messenger die Vorschau selbst bauen und verschicken – so wie beispielsweise Apples iMessage und WhatsApp. Wenn die verlinkte Seite seriös ist, ist der Empfänger sicher.
Aber es ist auch möglich, dass externe Server die Link-Vorschau generieren. Das bedeutet, dass du einen Link in den Chat einfügst und die entsprechende App ihn an einen externen Server weiterleitet, um eine Vorschau erstellen zu lassen.
Anschließend sendet der Server die Vorschau an den Absender und an den Empfänger zurück. Dabei ergibt sich die Möglichkeit für Kriminelle, Schadsoftware zu verbreiten und sensible Informationen abzugreifen.
Bakry und Mysk geben in ihrem Bericht ein konkretes Beispiel: „Angenommen, du hast einen privaten Dropbox-Link an einen Freund gesendet und möchtest nicht, dass andere Personen sehen, was sich dahinter verbirgt. Hierbei muss der Server eine Kopie (oder zumindest eine Teilkopie) des Inhalts des Links erstellen, um die Vorschau zu generieren.“
Die Frage ist nun: Behält der Server diese Kopie vielleicht? Und wenn ja, für wie lange? Und was machen diese Server gegebenenfalls noch mit diesen Daten?
Diese Messenger stehen bei der Link-Vorschau noch in der Kritik
iMessage und WhatsApp verfolgen diesen Ansatz wie erwähnt nicht. In diesem Punkt sind sie sicher.
Es gibt aber eine ganze Reihe an Diensten, die mit einem externen Server arbeiten. Dazu zählen der Facebook Messenger, Instagram Direct, LinkedIn, Slack, Twitter, Zoom und Google Hangouts.
Der Facebook Messenger soll laut den Sicherheitsforschern dabei sogar eine 2,6 Gigabyte große Datei auf seine Server geladen haben. Die anderen Dienste stoppten wohl bei 20 bis 50 Megabyte.
Mysk erklärt dem Wirtschaftsmagazin Forbes dazu: „Wenn der durchgesickerte Inhalt als persönlich eingestuft wird, sind persönliche Benutzerdaten definitiv gefährdet.“
Es sei unklar, wie lange solche Server die Daten speichern und ob diese Server die Daten sicher speichern oder denselben Datenschutzrichtlinien entsprechen, die in der App angegeben sind.
Facebook habe zudem keine dieser Datenschutzbedenken beantwortet, deshalb würde Mysk „in solchen Apps keine Links zu privaten Informationen senden. Wenn du auf der sicheren Seite sein möchtest, wechsle einfach zu einer durchgängig verschlüsselten App.“
Auch interessant:
Ich denke dem normalen Nutzer interessiert es nicht die Bohne woher die Vorschau Bilder für die Links kommen. Die Webseiten haben den og:image meta value im head des HTML Dokuments hinterlegt. Niemanden interessiert es, das da im Hintergrund die Images generiert werden.