Apps die ein Root-Zertifikat installiert haben, können den gesamten Datenverkehr mitlesen – ob Apps oder Browser.

Foto: Rich Pedroncelli / REUTERS

Sowohl VPNs als auch Adblocker erfreuen sich in den vergangenen Jahren einer stark steigenden Popularität. Einer der Faktoren dafür ist das Versprechen einer gesteigerten Privatsphäre, etwa in dem Tracker blockiert oder die Internetaktivitäten vor dem Provider versteckt werden. Das Ganze hat allerdings auch eine Schattenseite, die allzu oft vergessen wird: Man gibt den jeweiligen Services selbst wiederum einen umfassenden Einblick in die eigene Online-Nutzung.

Versteckte Interessen

Die Datensammelfirma Sensor Tower soll hinter mehr als zwanzig populären VPN- und Adblocker-Apps für Android und iOS stecken. Dies berichtet Buzzfeed. Mit Titeln wie "Adblock Focus", "Luna VPN" oder auch einfach "Free und Unlimited VPN" sollen sie es in Summe auf mehr als 35 Millionen Downloads gebracht haben.

Einmal installiert drängen sie die Nutzer zuerst dazu, ein sogenanntes Root-Zertifikat auf dem iPhone oder Android-Gerät zu installieren. Lassen sich diese darauf ein, geben sie der Firma damit einen Vollzugriff auf den Netzwerkverkehr auf dem Smartphone. Das erwähnte Zertifikat sorgt nämlich dafür, dass selbst HTTPS-verschlüsselte Verbindungen mitgelesen werden können. Auch die Kommunikation von Apps kann so mitgelesen werden.

Drei der Apps, die Daten an Sensor Tower liefern.
Grafik: Senso Tower

Reaktion

Bei Sensor Tower reagiert man auf die Vorwürfe betont zurückhaltend. Generell wolle man sich aus "Wettbewerbsgründen" nicht dazu äußern, welche Apps man konkret betreibe. Kein Geheimnis ist hingegen, dass das Unternehmen im Datensammelgeschäft – oder wie man es selber lieber nennt: der Datenanalytik – steckt. Immerhin bietet das Unternehmen seine Dienste unter anderem Risikokapitalgebern, Entwicklern und Verlagen an. Dabei verspricht man etwa aktuelle Trends früh erfassen zu können – dank des Einblicks in die Surf- und App-Gewohnheiten der Nutzer hat.

Sensor Tower betont allerdings, dass man für diese Plattform keinerlei sensible oder persönlich identifizierbare Daten sammle. Sicherheitsforscher hatten in den Vergangenheit hingegen immer wieder unterstrichen, dass solche Versprechungen nicht haltbar seien, da sich viele dieser Daten immer auf einzelne Personen zurückführen lassen.

Sensor Tower versucht aber noch mit einem anderen Hinweis zu kalmieren: Viele dieser Apps seien nämlich ohnehin nicht mehr verfügbar. Was die Firma dabei zu erwähnen vergisst: Dieser Umstand ist nicht freiwillig entstanden. Viel mehr wurden die betreffenden Apps wegen Verstöße gegen die Richtlinien der Apps Stores von Apple und Google entfernt. So wurde denn auf Hinweis von Buzzfeed jetzt auch noch Adblock Focus von Apple entfernt, während die Untersuchung von Luna VPN noch läuft. Bei Google betont man ebenfalls, dass man die Apps untersucht, wann dieser Schritt abgeschlossen wird, ist aber noch unklar.

Sicherheitsempfehlungen

Der Vorfall ist vor allem eine Erinnerung daran, dass Smartphone-Nutzer bei der Auswahl entsprechender Apps äußerste Vorsicht walten lassen sollten. So besteht etwa schon seit Jahren gegen viele Anbieter von kostenlosen VPNs der Verdacht, dass sie die Daten ihrer Kunden auswerten und dieses Wissen weiterverkaufen, bei einigen wurde dies auch bestätigt.

Generell raten die Sicherheitsexperten von Malwarebytes davon ab, irgendwelchen Apps einen solch tiefgreifenden Zugriff auf den Netzwerkverkehr zu geben. Mit der Installation eines Root-Zertifikats würden sich die Nutzer in vielerlei Hinsicht zusätzlichen Gefahren aussetzen. (apo, 10.03.2020)