Fotostrecke

Woolim: Ein Tablet aus Nordkorea

Foto: Florian Grunow

Woolim Dieses Tablet aus Nordkorea spioniert - und das nicht mal heimlich

In Nordkorea gelten Tablets als Statussymbol, doch ihre Nutzung wird überwacht. Zwei Sicherheitsexperten sind an ein Gerät aus der Diktatur herangekommen - und haben darauf Merkwürdiges entdeckt.

Nordkoreas Machthaber Kim Jong Un will sein Land modernisieren . Die Menschen sollen kultivierter werden. Dazu hat Kim seit seiner Machtübernahme vor fünf Jahren unter anderem ein Reitzentrum in Pjöngjang und ein Skiresort an der Ostküste des Landes eingerichtet. Und auch die Frauenband Moranbong , die Hymnen auf die Führung in Popsongs kleidet, verkörpert diesen Anspruch.

Schon länger gelten aber auch in Nordkorea Smartphones und Tablets als Statussymbole. Es ist wohl kein Zufall, dass ausgerechnet Moranbong in einem Werbevideo für ein Tablet auftritt, das den Bürgern des Landes die angebliche Multimedia-Zukunft nahebringen soll.

Doch was steckt eigentlich in diesem Nordkorea-Tablet? Zwei deutsche Sicherheitsexperten, Florian Grunow und Niklaus Schiess, haben sich eins der Geräte genau angeschaut, um herauszufinden, was die Girlband den Nordkoreanern schmackhaft machen will. Vergangenes Jahr hatten sie auf dem Hackerkongress 32C3 bereits ein Betriebssystem aus Nordkorea analysiert.

Handelsübliche Hardware

Ein Jahr später, auf dem 33C3, ist nun das Tablet dran. Bei dem Gerät handelt es sich den Forschern zufolge zwar um handelsübliche Hardware, das Betriebssystem wurde aber vom Regime stark modifiziert. Die beiden Sicherheitsexperten beschäftigte daher vor allem die Frage, ob in der Software des Woolim genannten Geräts Mechanismen eingebaut sind, mit denen Nutzer überwacht werden.

An das Woolim sind die beiden auf Umwegen gekommen. "Die Geräte dürfen nicht außer Landes gebracht werden", sagt Grunow. Daher hätten sie im Zuge ihrer Präsentation auf dem 33C3 darauf geachtet, dass keine Rückschlüsse auf die Herkunft des Geräts gezogen werden konnten.

Fotostrecke

Woolim: Ein Tablet aus Nordkorea

Foto: Florian Grunow

Das Tablet hat einen zehn Zoll großen Bildschirm und verfügt über einen Speicher mit acht Gigabyte, der per Micro-SD-Karte erweitert werden kann. Auf der Platine fehlen sämtliche Kommunikationsschnittstellen wie WLAN oder Bluetooth. Nur über einen Adapter kann das Gerät mit einem Netzwerk verbunden werden. "Über eine VPN-Verbindung gibt es die Möglichkeit, Zugang zum nordkoreanischen Intranet zu bekommen", sagt Florian Grunow.

Hergestellt wird die Hardware von der chinesischen Firma Hoozo, die das Tablet unter dem Namen Z100 auch weltweit vertreibt. "So ein Gerät kostet üblicherweise zwischen 180 und 260 Euro", sagt Grunow. In Nordkorea dürfte der Preis aber um einiges höher sein. Genaue Angaben dazu konnten die Sicherheitsexperten nicht machen, auch nicht zu den Vertriebswegen.

Auf dem Woolim sind verschiedene Programme vorinstalliert. So gibt es eine Textverarbeitung, ein Programm für Präsentationen, Spiele und ein Lernprogramm für Kinder, mit dem sie das Tippen auf einer Tastatur üben können. Hinzu kommt ein Haufen staatlicher Propaganda.

Signatursystem verhindert Start unbekannter Apps

Grunow und Schiess fanden in der Software des Woolim Spuren von Code, der ähnlich auch im Betriebssystem Red Star, das sie vergangenes Jahr analysiert hatten, vorkommt. Schon in Red Star gab es ein sogenanntes Watermarking-Tool, wie es jetzt auch auf dem Woolim zu finden ist.

Fotostrecke

Red Star OS 3.0: So sieht das Betriebssystem aus Nordkorea aus

Foto: Grunow/Schiess

Im Gegensatz zu Red Star, wo Mediendaten nur nachverfolgt werden können, verhindert das Betriebssystem des Geräts aber, dass Dateien, die nicht signiert sind, überhaupt gestartet werden. "Hier haben die Entwickler dazugelernt", sagt Grunow. Das Gleiche gilt demnach für Apps: Haben sie nicht das entsprechende Siegel, lassen sie sich nicht öffnen.

Auch Dateien, die auf dem Woolim erstellt werden, bekommen eine eigene Signatur. Dadurch können sie nur auf dem Gerät selbst ausgeführt oder geöffnet werden. Das gilt auch für die Fotos, die mit einer der Tablet-Kameras gemacht werden.

"Es gibt also zwei Signaturen", sagt Grunow, "eine staatliche für alle Tablets und eine, die auf das bestimmte Gerät zugeschnitten ist." Auf diese Weise werde die Weitergabe von unerwünschtem Material unterbunden. "Bei der Signaturprüfung konnten wir einen großen Fortschritt bei den eingesetzten kryptografischen Verfahren feststellen", sagt Niklaus Schiess.

Angepasste Android-Variante

Während Red Star auf Linux basiert, aber an Mac OS X erinnert, sieht man Woolim seine Herkunft an - die Software basiert auf Android. Die Benutzeroberfläche wurde den Experten zufolge optisch kaum angepasst. "Man sieht sofort, dass Android die Grundlage ist", sagt Grunow, dem auch aufgefallen ist, dass bekannte Sicherheitslücken der zugrundeliegenden Android-Version 4.4.2 von den Entwicklern geschlossen wurden. Es gebe kaum Möglichkeiten, das System zu manipulieren.

Alle Google-Dienste, beispielsweise der Play Store, seien aus der Android-Variante entfernt worden, sagen Grunow und Schiess. Trotzdem soll es ihrer Einschätzung nach die Möglichkeit geben, signierte Apps zu installieren, die aus dem staatlichen Intranet heruntergeladen werden können. In erster Linie sei das Woolim wohl als Unterhaltungsmedium gedacht, meinen die Experten.

In dem Werbevideo mit der Band Moranbong ist das Gerät mit einem DVB-T-Empfänger verbunden. Als weitere Anschlussmöglichkeiten werden WLAN und USB beworben. Auch an einen Fernseher soll das Woolim angeschlossen werden können. Das gelang Grunow und Schiess während ihres Tests aber nicht.

YouTube-Video: Nordkoreanischer Werbespot für das Woolim

Transparente Überwachung

Die Sicherheitsexperten sind vor allem von den Funktionen zur Überwachung der Nutzer beeindruckt: Durch den Signaturmechanismus könne sämtliche Datennutzung auf dem Tablet nachverfolgt werden, sagen sie. Auch der Zugang zum Internet funktioniere nur auf sehr kontrollierte Weise. Schließt der Nutzer ein Modem oder einen WLAN-Adapter an, müsse er sich über einen der wenigen Intranetzugangspunkte des Landes mit Benutzernamen und Passwort identifizieren.

Immerhin erfolgt die Überwachung transparent. Die vorinstallierte App Trace Viewer beispielsweise macht den Forschern zufolge Screenshots, wenn ein neues Programm geöffnet wird. Außerdem zeichnet das Tool den Browserverlauf auf. Die Informationen werden für den Nutzer unzugänglich in einer Datenbank gespeichert.

So könne jederzeit eindeutig identifiziert werden, welche Dienste und Dateien der Nutzer mit seinem Tablet aufrufe, sagen die Experten. Die App sei offen zugänglich. Woolim-Besitzer können so zumindest genau verfolgen, wie sie ausgeforscht werden.