Tausende Apps verwenden den Code eines Unternehmens namens Pushwoosh, ein Unternehmen aus den USA. Zumindest nahm man das bisher an, doch tatsächlich stammt die Softwarefirma aus Sibirien, wie Reuters am Dienstag berichtete.

Das Unternehmen verwendete zur Verschleierung seines Ursprungs laut einem Bericht von "Gizmodo" nicht nur eine falsche Adresse, sondern erstellte auch falsche Mitarbeiterprofile auf Linkedin, um eine Provenienz aus den USA vorzutäuschen. Tatsächlich stellte sich aber nun heraus, dass Pushwoosh von Novosibirsk aus agiert. Das Unternehmen beschäftigt dort rund 40 Mitarbeiter und meldete im Vorjahr einen Umsatz von 143.270.000 Rubel (2,3 Millionen Euro) an die russischen Behörden. Pushwoosh ist bei den russischen Behörden registriert und bezahlt auch dort seine Steuern.

Auf 2,3 Milliarden Geräten installiert

In Zulassungsanträgen wie auch in sozialen Medien hat das Unternehmen immer damit geworben, "US based" zu sein, wahlweise aus Kalifornien, Maryland und Washington, D.C. Der Dienst – hauptsächlich eine Plattform zum Versenden von Push-Benachrichtigungen, zählt neben international tätigen Unternehmen auch Regierungsorganisationen zu seinem Kundenstamm. Der Code von Pushwoosh wird in aktuell mindestens 8.000 verschiedenen Apps verwendet, die derzeit bei Google Play und im Apple Store erhältlich sind. Der Code von Pushwoosh soll sich laut eigenen Angaben auf der Homepage auf 2,3 Milliarden Geräten weltweit befinden.

Zu den Kunden der russischen Firma gehört unter anderem das Center for Disease Control and Prevention (CDC), eine Behörde des US-Gesundheitsministeriums. Der Code von Pushwoosh wurde laut dem Bericht in mindestens sieben verschiedenen Apps der Behörde verwendet. Im Zuge der Recherchen der Reuters-Journalisten entfernte das CDC den Code aus seinen Apps, weil "das Unternehmen ein potenzielles Sicherheitsrisiko darstellt", sagte Sprecherin Kristen Nordlund. Das CDC sei getäuscht worden und ging davon aus, dass es sich bei Pushwoosh um ein Unternehmen aus Washington, D.C. handle.

Uefa, Unilever, NRA und Labour Party unter den Kunden

Aber nicht nur das US-Gesundheitsministerium verwendet den Code aus Russland, auch die US-Armee nutzte die Software von Pushwoosh in einer App für die Kampfausbildung im National Training Center. Dort dürfte das Sicherheitsrisiko schon länger bekannt gewesen sein, jedenfalls teilten die US-Streitkräfte mit, dass sie die App wegen "Sicherheitsproblemen" bereits im März entfernt hätten. Zu weiteren Nutzern des Pushwoosh-Codes gehören der Fußballverband Uefa, der Unilever-Konzern, die National Rifle Association sowie die britische Labour Party.

Doch ist der Code tatsächlich gefährlich? "Die Daten, die Pushwoosh sammelt, ähneln Daten, die von Facebook, Google oder Amazon gesammelt werden könnten, aber der Unterschied besteht darin, dass alle Pushwoosh-Daten in den USA an Server gesendet werden, die von einem Unternehmen (Pushwoosh) in Russland kontrolliert werden", sagte Zach Edwards, ein Sicherheitsforscher, der erstmals den Pushwoosh-Code entdeckte, als er für die NGO Internet Safety Labs arbeitete.

Der Gründer von Pushwoosh, Max Konew, leugnet die Vorwürfe, er hätte versucht, die russische Herkunft seines Unternehmens zu verschleiern. "Ich bin stolz darauf, Russe zu sein, und ich würde das niemals verheimlichen." Konew betonte, dass sein Unternehmen keine Verbindung zur russischen Regierung habe und man Daten lediglich in den USA und Deutschland speichere.

Postkastenfirma in Maryland

Dem widersprechen allerdings Recherchen von Reuters: Demnach gibt das Unternehmen eine Adresse in einem Vorort von Kensington im US-Bundesstaat Maryland an. Tatsächlich lebt an der angegebenen Adresse ein russischer Freund von Konew, der dem Pushwoosh-Gründer lediglich seine Adresse für Geschäftskorrespondenz zur Verfügung stellt. Damit konfrontiert, meinte Konew, er betreibe Pushwoosh jetzt von Thailand aus. Im dortigen Handelsregister ist das Unternehmen aber laut Reuters nicht registriert. Eine frühere Adresse von Pushwoosh in Union City existiert ebenfalls nicht.

Fake-Profil führt nach Österreich

Aber Pushwoosh nutzte nicht nur falsche Adressen, sondern auch falsche Social-Media-Accounts. So sind auf der Jobplattform Linkedin eine gewisse Mary Brown sowie ein Noah o'Shea als Führungsteam der Firma angegeben. Aber weder Brown noch O'Shea sind echte Menschen. Das Profilfoto von Brown gehört eigentlich einer österreichischen Tanzlehrerin. Dieses sei von einem Fotografen in Moskau aufgenommen worden, erklärt die Frau. Sie habe keine Ahnung, wie dieses Foto nun auf dem Account eines falschen Linkedin-Profils gelandet sei. Linkedin hat die falschen Konten mittlerweile entfernt.

Pushwooshs Geschäfte mit US-Regierungsbehörden und Privatunternehmen könnten gegen Regelungen der US-amerikanischen Federal Trade Commission (FTC) verstoßen oder Sanktionen gegen das Unternehmen auslösen. Roskomnadzor, Russlands staatliche Regulierungsbehörde für Kommunikation, antwortete nicht auf eine Anfrage von Reuters. (pez, 16.11.2022)