Wer den Begriff Spyware verwendet, spricht dabei meist über Software, die mit kriminellem Interesse auf dem Rechner oder Smartphone installiert wird. Aber es gibt auch eine andere Seite solcher Programme: Die sogenannte kommerzielle Spyware. Dabei handelt es sich um Programme, deren Ziel es ist, eine tiefgreifende Kontrolle über ein Smartphone einer bekannten Person zu erhalten. Die Legalität des Ganzen hängt dabei stark vom jeweiligen Einsatz ab, so werden solche Tools teilweise von Eltern genutzt, um den Nachwuchs im Blick zu behalten, aber auch Lebensgefährten oder auch Unternehmen greifen zum Teil zu solchen Methoden.

Offengelegt

Einer der Anbieter in diesem Bereich nennt sich Spyfone, und dieser demonstriert nun, dass solche eine Software nicht nur aus prinzipieller Sicht äußerst problematisch ist, sondern man sich – und vor allem die überwachte Person – sehr konkreten Gefahren aussetzt. Sicherheitsforscher haben haarsträubende Fehler in der Implementation des zugehörigen Webdienstes gefunden, wie Motherboard berichtet.

Die Entwickler von Spyfone bedienen sich einer weitgehend ungeschützten Cloud-Instanz bei Amazon S3. Dadurch ist es Dritten möglich, Zugriff auf sämtliche Daten der Kunden des Unternehmens zu bekommen. In Summe soll es sich dabei um mehrere Terabyte an Fotos, Textnachrichten, Audioaufnahmen, Standortdaten, Passwörter und viele andere sensible Informationen halten.

Kein Passwort

Die Betreiber haben aber nicht nur die Kundendaten kaum geschützt, auch der Backend-Server über den sie selbst zugreifen, ist nicht abgesichert. Und diese Formulierung ist dabei keine Übertreibung, es wird nämlich kein Passwort benötigt, um sich einzuloggen. Auf diese Weise lässt sich herausfinden, dass der Dienst – der nur einer unter vielen ist – derzeit mindestens 2.208 aktive Kunden hat, die 3.666 Smartphones überwachen lassen.

Ein Sprecher von Spyfone betont, dass man den Leak derzeit untersuche, und bedankt sich bei den Sicherheitsforschern, dass man auf die Defizite hingewiesen hat. (apo, 24.8.2018)