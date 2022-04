Standortdaten sind besonders sensibel, lassen sich damit doch im schlimmsten Fall Bewegungsprofile einzelner Nutzer erstellen. Foto: Abdullah Rashid / REUTERS

Viel haben Apple und Google in den vergangenen Jahren getan, um das Einsammeln sensibler Nutzerdaten durch Dritt-Apps zu beschränken. Wie viel es dabei aber noch zu tun gibt, verdeutlicht nun eine aktuelle Untersuchung. Zudem erinnert diese daran, dass es längst nicht nur russische oder chinesische Behörden sind, die sich zweifelhafter Methoden bedienen, um an sensible Daten zu kommen.



Spionage

In einem Blogeintrag decken die Sicherheitsforscher Serge Egelman und Joel Reardon einen neuen Fall von Datenspionage auf. Und zwar einen, bei dem die erbeuteten Daten schlussendlich bei US-Behörden gelandet sind. Das wiederum nicht ganz zufällig, richten sich die betreffenden Apps doch vor allem an Nutzer aus dem Nahen Osten, das Ziel dürfte also Spionage gewesen sein. Weitere Details gibt es in einem dazugehörigen Artikel des "Wall Street Journal".

Neben einer Wetter-App finden sich in der Liste der betroffenen Programme auch ein QR-Code-Scanner, verschiedene Übersetzungs-Apps sowie eine muslimische Gebets-Apps. Letztere soll dabei allein von mehr als zehn Millionen Nutzern installiert worden sein. In Summe sollen alle diese Programme zumindest auf 60 Millionen Geräten zu finden gewesen sein.

Trickreich

Es handelte sich dabei übrigens nicht um simple Fälschungen, all diese Apps haben ihre versprochene Funktionalität geliefert. Parallel dazu wurden aber von verstecktem Code Daten eingesammelt und an ein privates Verteidigungsunternehmen in Virginia weitergeleitet. Dieses hat die Daten dann an US-Behörden weiterverkauft.

Zu den eingesammelten Daten gehörten unter anderem der genaue Standort der User, ihre E-Mail-Adresse, Daten aus dem Adressbuch und natürlich Telefonnummern. Selbst Informationen über andere Geräte im Umfeld wurden übermittelt. Dazu kommt noch, dass regelmäßig die Daten aus dem Zwischenspeicher des Geräts ausgelesen wurden, womit zum Teil sogar Einblick in Passwörter genommen werden konnte.

Bekanntes Problem

All das wirft natürlich die Frage auf, wie das überhaupt technisch möglich ist. Dabei zeigt sich einmal mehr eine Vorgangsweise, die bei Spionagefirmen zuletzt immer beliebter geworden ist. Der Datenhändler hat App-Hersteller dafür bezahlt, dass sie den versteckten Code in ihren Programmen unterbringen – dabei hat man gezielt nach Apps gesucht, die auf den Nahen und Mittleren Osten abzielen.

Für die Einbettung in die jeweilige App bot man ein eigenes Entwicklungskit (SDK) an. Die Nutzung solcher SDKs ist in der Softwareentwicklung gebräuchlich, um einzelne Funktionen zu übernehmen, ohne sie selbst schreiben zu müssen, insofern ist deren Nutzung an sich nichts Auffälliges. Das Problem dabei: Oft wissen die App-Entwickler gar nicht in vollem Umfang, was diese SDKs alles tun. In diesem Fall dürften diese aber durchaus bewusst mitgespielt haben, jedenfalls mussten sie sogar eine Geheimhaltungserklärung unterschreiben.

Nutzer stimmen zu

Gleichzeitig erben diese aber die Berechtigungen der zugehörigen App. Das heißt auch: Es ist für das Einsammeln der Daten gar nicht notwendig, irgendwelche Sicherheitslücken in Android zu finden. Stattdessen holt sich die umgebende App einfach die Genehmigung von den Nutzern ein, ist es doch etwa bei einer Wetter-App für viele schlüssig, dass diese Zugriff auf den Standort braucht, um Vorhersagen über die Wetterlage in der aktuellen Umgebung treffen zu können. Genau diese Daten werden dann aber eben auch an den Datenhändler weitergeleitet, der daraus je nach Einstellung sogar Bewegungsprofile erstellen könnte.

In diesem Fall handelte es sich – angeblich – um das SDK einer in Panama angesiedelten Firma namens Measurement Systems S. de R.L. In Wirklichkeit soll dahinter laut den Recherchen der Forscher die US-Firma Vostrom Holdings Inc stehen, die ihre Geschäfte mit US-Behörden wiederum über ein Tochterunternehmen namens Packet Forensics LLC schleust.

Reaktion

Google hat die betreffenden Apps auf Hinweis der Forscher mittlerweile aus dem Play Store entfernt. Allerdings soll das Entwicklungskit bereits kurz nach Veröffentlichung der Erkenntnis der Forscher ohnehin seine spionierende Tätigkeit eingestellt haben. Eine Liste aller betroffenen Apps findet sich im Blogeintrag der Sicherheitsforscher.

Vorgeschichte

Der Vorfall erinnert an einen, der im Jahr 2020 publik wurde. Damals wurde öffentlich, dass die Firma X-Mode über einen sehr ähnlichen Aufbau den Standort von Millionen Smartphone-Usern ausspioniert hat – und zwar sowohl unter Android als auch am iPhone. Auch dort war eine beliebte muslimische Gebets-App eines der mit einem solchen SDK unterwanderten Programme. Apple und Google haben kurz danach die Nutzung von X-Mode für alle Apps auf ihren Plattformen verboten. Generell muss betont werden, dass dieses Problem nicht auf Android beschränkt ist.

Die aktuelle Entfernung der Apps mag diesen einen Fall bereinigen, das größere Problem mit zweifelhaften SDKs lässt sich auf diesem Weg aber nicht so einfach ausräumen. Zumindest dürfte Google dies mittlerweile bewusst sein. Für das kommende Android 13 arbeitet der Softwarehersteller an einem System, um die Möglichkeiten solcher SDKs zu beschränken – und nicht zuletzt auch transparenter zu machen, was diese alles so tun. Bis das aber für alle SDKs und sämtliche Apps gilt und weitverbreitet ist, wird aber sicher noch einige Zeit vergehen. (Andreas Proschofsky, 7.4.2022)