Um hier angesichts des Namensähnlichkeit keine Verwirrung aufkommen zu lassen: Bei Totok handelt es sich um eine andere App als das aus China stammende Tiktok, das in den vergangenen Monaten einen rasanten Aufstieg hingelegt hat.

Foto: GLEB GARANICH / REUTERS

Eines sollte Smartphone-Nutzern bewusst sein: Mit jeder App, die man nutzt, steckt man auch ein gewisses Vertrauen in dessen Anbieter. Immerhin wirft praktisch jedes Programm eine Fülle an interessanten Daten ab. Gewährt man dann auch noch den Zugriff auf den eigenen Standort oder andere sensible Informationen wie die Kamera, könnte ein Hersteller, der auf Böses sinnt, schon eine recht umfangreiche Datensammlung erstellen. Und das ist nicht bloß eine theoretische Gefahr, wie ein aktueller Bericht verdeutlicht.

Spionage statt Chat

Die populäre Chat-App Totok ist in Wirklichkeit ein Spionagetool der Vereinigten Arabischen Emirate, das behauptet zumindest die "New York Times". So sollen über die App nicht nur sämtliche Sprach- und Textkonversationen der User ausspioniert worden sein, die Betreiber bekamen auch Zugriff auf Fotos und Standortinformationen. Beim letzten Punkt zeigt sich auch gut, wie einfach so eine Spionage ist: Um die Nutzer dazu zu bringen, die notwendige Location-Berechtigung zu vergeben, bot man schlicht ortsbasierte Wetterinformationen an. Viele User ließen sich infolge auf die Weitergabe dieser hochsensiblen Daten ein.

Auch sonst gingen die Entwickler durchaus schlau vor. So wurde Totok etwa explizit als sichere App beworben, bei der die Daten verschlüsselt gespeichert würden. Von Ende-zu-Ende-Verschlüsselung wie sie etwa Signal und andere Messenger verwenden, um auch dem Betreiber keinen Einblick zu geben, ist hingegen keine Rede.

Spuren

Was Totok so beliebt machte – zuletzt soll die App mehrere Millionen Nutzer gehabt haben – ist aber auch das, was manche stutzig machen hätte sollen. Entgegen vielen anderen Diensten wie Skype oder Whatsapp funktionierte Totok nämlich in den Vereinigten Arabischen Emiraten problemlos. Die App war also von Anfang an als eine Art Honigtopf ausgelegt, um Nutzer aus dem Land anzuziehen. Doch die Popularität von Totok führte dazu, dass sich auch viele Nutzer außerhalb der Emirate fanden, die ebenfalls mitüberwacht wurden. Alleine im November soll Totok weltweit mehr als eine halbe Million Mal installiert worden sein.

Hintergrund

Hinter dem offiziellen Hersteller namens "Breej Holding" soll in Wirklichkeit die Spionagefirma "Dark Matter" stecken. Diese soll sich unter anderem aus ehemaligen Spionen der NSA und aus dem israelischen Militär zusammensetzen und vom Geheimdienst der Emirate geleitet werden. Zudem soll auch die Datensammelfirma Pax AI ihre Finger im Spiel haben. Bei der Entwicklung der App selbst hat man sich hingegen weniger Arbeit angetan, es soll sich schlicht um einen Klon des chinesischen Tools Yeecall handeln.

Löschen

Sowohl Google als auch Apple haben die App mittlerweile aus ihren jeweiligen App Stores entfernt. Nutzer, die die Software noch auf ihren Geräte haben, sollten sie umgehend entfernen. Ansonsten bleibt der Rat für die eigenen Diskussionen lieber auf Ende-zu-Ende-verschlüsselte Apps wie Signal, Threema oder Wire zu setzen. Und generell zu hinterfragen, ob man wirklich jede der auf dem eigenen Smartphone installierten Apps braucht – und vor allem welchen davon man damit dann auch noch Zugriff auf den eigenen Standort gibt. (apo, 23.12.2019)