Die Info bekam ich vom Support
--------
Vielen Dank für Ihre Anfrage. Es ist aus verschiedenen Gründen höchst zweifelhaft, dass
solche «Timing-Analysen» in der Praxis durchgeführt werden können.
Nutzer erhalten nicht nur dann Nachrichten, wenn ihre Messaging-App geöffnet ist. Und
sobald sich die App im Hintergrund befindet, wird sie durch Push-Benachrichtigungen
aufgeweckt, wenn eingehende Nachrichten eintreffen: Dadurch verzögert sich die Rücksendung
des Zustellungsstatus unvorhersehbar.
Ausserdem wäre es höchstens dann möglich, den Standort einer Person zu erraten, wenn der
Angreifer von vornherein mit Sicherheit weiss, dass sich die Zielperson an einem Ort aus
einer vordefinierten und sehr kurzen Liste an möglichen Orten aufhält (nicht aber an einem
beliebigen Ort). Aus dem Blauen heraus den Standort eines Threema-Nutzers zu ermitteln,
ist aber selbstverständlich nicht möglich.
Wir haben dennoch mehrere Umgehungsmöglichkeiten in Betracht gezogen und verschiedene
Tests durchgeführt, darunter auch solche, bei welchen Zustellungsbenachrichtigungen nach
dem Zufallsprinzip ein wenig verzögert werden, um Timing-Analysen ins Leere laufen zu
lassen. App-Updates, welche diese Verbesserung beinhalten, sollten demnächst verfügbar
werden.
-------
Meine Nachfrage auf die Antwort:
Hallo Threema-Support,
Vielen Dank für die umfassende Antwort. Meine Anfrage bezog sich aber darauf, ob die Timing -Analyse auch dann funktioniert wenn ich "Unbekannte blockieren" aktiv habe. Demnach dürfte der Unbekannte mir gar keine Nachricht senden können um sie danach zu analysieren.
----------
Antwort vom Support
Besten Dank für Ihre Rückmeldung.
Unsere Antwort sollte in erster Linie darlegen, dass ohnehin keine ernstzunehmende Gefahr
von solchen Timing-Analysen ausgeht (zumal sie höchstens in der Theorie oder in einem
akademischen Versuchsszenario durchführbar sind) und somit grundsätzlich keine
Gegenmassnahmen ihrerseits erforderlich sind.
(Ein potenzieller Angreifer müsste bereits etliche Male über Ihren tatsächlichen Standort
Kenntnis gehabt und Ihnen jeweils mehrere Nachrichten geschickt haben, um zu
Referenzwerten zu gelangen. Dabei müsste die App bei Ihnen stets offen und im Vordergrund
gewesen sein, da andernfalls Push-Benachrichtigungen die Werte verwässern und unbrauchbar
machen würden. Weiter müsste der Angreifer mit absoluter Sicherheit wissen, dass Sie sich
zum gegebenen Zeitpunkt an einem von z.B. drei bereits bekannten und zuvor getesteten
Orten befinden, und erst dann könnte er erraten, um welchen Ort es sich tatsächlich
handelt. Wenn allerdings von vornherein bekannt ist, dass Sie sich an einem von drei
möglichen Orten aufhalten, liegt die Wahrscheinlichkeit, den richtigen Standort zu
erraten, von vornherein bei rund 33%.)
Um aber auf Ihre Frage zurückzukommen: Ja, wenn Sie die «Unbekannte blockieren»-Option
aktivieren, wäre es _für Unbekannte_ ohnehin nicht mehr möglich, auf die besagte Weise von
Timing-Analysen Gebrauch zu machen.
----------
Da ich generell Unbekannte blockiere betrifft mich das Thema nicht, zumal ich keinem meiner Kontakte die Fähigkeit der Timing-Analyse zutraue.