Viel haben Apple und Google in den vergangenen Jahren getan, um das Einsammeln sensibler Nutzerdaten durch Dritt-Apps zu beschränken. Wie viel es dabei aber noch weiter zu tun gibt, verdeutlicht nun eine aktuelle Untersuchung. Zudem erinnert diese daran, dass es längst nicht nur russische oder chinesische Behörden sind, die sich zweifelhafter Methoden bedienen, um an sensible Daten zu kommen.

Spionage

In einem Blogeintrag decken die Sicherheitsforscher Serge Egelman und Joel Reardon einen neuen Fall von Datenspionage auf. Und zwar einen, bei dem die erbeuteten Daten schlussendlich bei US-Behörden gelandet sind. Das wiederum nicht ganz zufällig, richten sich die betreffenden Apps doch vor allem an Nutzer aus dem Nahen Osten. Das Ziel dürfte also Spionage gewesen sein. Weitere Details gibt es in einem dazugehörigen Artikel des "Wall Street Journal".

Neben einer Wetter-App finden sich in der Liste der betroffenen Programme auch ein QR-Code-Scanner, verschiedene Übersetzungs-Apps sowie eine muslimische Gebets-Apps. Allein Letztere soll dabei von mehr als zehn Millionen Nutzern installiert worden sein. In Summe sollen alle diese Programme zumindest auf 60 Millionen Geräten zu finden gewesen sein.

Trickreich

Es handelte sich dabei übrigens nicht um simple Fälschungen, all diese Apps haben ihre versprochene Funktionalität geliefert. Parallel dazu wurden aber von verstecktem Code Daten eingesammelt und an ein privates Unternehmen aus dem Verteidigungsbereich im US-Bundesstaat Virginia weitergeleitet. Dieses hat die Daten dann an US-Behörden weiterverkauft.

Zu den eingesammelten Daten gehörten unter anderem der genaue Standort der User, ihre E-Mail-Adresse, Daten aus dem Adressbuch und natürlich Telefonnummern. Selbst Informationen über andere Geräte im Umfeld wurden übermittelt. Dazu kommt noch, dass regelmäßig die Daten aus dem Zwischenspeicher des Geräts ausgelesen wurden, womit zum Teil sogar Einblick in Passwörter genommen werden konnte.

Bekanntes Problem

All das wirft natürlich die Frage auf, wie das überhaupt technisch möglich ist. Dabei zeigt sich eine Vorgangsweise, die bei Spionagefirmen zuletzt immer beliebter geworden ist. Der Datenhändler hat App-Hersteller dafür bezahlt, dass sie den versteckten Code in ihren Programmen unterbringen. Dabei hat man angeblich gezielt nach Apps gesucht, die für Nutzer im Nahen und Mittleren Osten gedacht sind.

Für die Einbettung in die jeweilige App bot man ein eigenes Entwicklungskit (SDK) an. Die Nutzung solcher SDKs ist in der Softwareentwicklung gebräuchlich, um einzelne Funktionen zu übernehmen, ohne sie selbst schreiben zu müssen. Insofern ist deren Nutzung an sich nichts Auffälliges.

Nutzer stimmen zu

Das Problem dabei: Oft wissen die App-Entwickler gar nicht in vollem Umfang, was diese SDKs im Detail alles tun. Ob das auch hier der Fall war, ist unklar. Das Wall Street Journal berichtet jedenfalls, dass die App-Entwickler Stillschweigevereinbarungen unterschreiben mussten, was zumindest eine gewisse Mitwisserschaft – oder zumindest eine fortgeschrittene Naivität – nahelegt.

Die Datensammlung ist nun möglich, weil diese SDKs als fixer Bestandteil der App auch sämtliche von den Nutzern erteilten Berechtigungen erben. Gibt also die Nutzerin der Wetter-App Zugriff auf den Standort, hat auch das SDK Zugriff auf diesen, und kann damit machen, was es will – eben im schlimmsten Fall auch an solche Datenhändler weiterreichen.

Spurensuche

In diesem Fall handelte es sich offiziell um das SDK einer in Panama angesiedelten Firma namens Measurement Systems S. de R.L. In Wirklichkeit soll dahinter laut den Recherchen der Forscher die US-Firma Vostrom Holdings Inc stehen, die ihre Geschäfte mit US-Behörden wiederum über ein unter dem Namen Packet Forensics LLC geführtes Tochterunternehmen schleust.

Reaktion

Google hat die betreffenden Apps auf Hinweis der Forscher bereits vor einigen Wochen aus dem Play Store entfernt. Allerdings soll das Entwicklungskit bereits kurz nach Veröffentlichung der Untersuchung ohnehin seine spionierende Tätigkeit eingestellt haben. Eine Liste aller betroffenen Apps findet sich im Blogeintrag der Sicherheitsforscher. Ein Teil davon ist übrigens schon wieder im Play Store verfügbar – nachdem sie das betreffende SDK entfernt haben.

Vorgeschichte

Der Vorfall erinnert an einen, der im Jahr 2020 publik wurde. Die Firma X-Mode hatte damals über einen sehr ähnlichen Aufbau den Standort von Millionen Smartphone-Usern ausspioniert – und zwar sowohl unter Android als auch am iPhone. Auch dort war eine beliebte muslimische Gebets-App eines der mit einem solchen SDK unterwanderten Programme. Apple und Google haben kurz danach die Nutzung von X-Mode für alle Apps auf ihren Plattformen verboten. Generell muss betont werden, dass dieses Problem nicht auf Android beschränkt ist.

Die Entfernung der Apps mag diesen einen Fall lösen, das größere Problem mit zweifelhaften SDKs lässt sich aber nicht so einfach ausräumen. Zumindest dürfte Google dies mittlerweile bewusst sein. Für das kommende Android 13 arbeitet der Softwarehersteller an einem System, um die Möglichkeiten von Entwicklungskits zu beschränken – und nicht zuletzt auch transparenter zu machen, was diese alles so tun. Bis das aber für sämtliche SDKs und Apps gilt, wird aber sicher noch einige Zeit vergehen. (Andreas Proschofsky, 7.4.2022)