Mögliche Datensammlung über Muslime Google sperrte millionenfach heruntergeladene Apps

Google hat mehrere harmlos erscheinende Apps temporär aus dem Play Store entfernt, weil sie ihre Nutzer ausspionieren könnten. Vom Code der App führt eine Spur zu Dienstleistern der US-Regierung.
Muslime nutzen in Indonesien eine App, um den genauen Zeitpunkt des Ramadan-Beginns zu checken

Muslime nutzen in Indonesien eine App, um den genauen Zeitpunkt des Ramadan-Beginns zu checken

Foto: Algi Febri Sugita / ZUMA Wire / IMAGO

Die Funktionsbeschreibungen der App klingen eigentlich harmlos: »QR-Code-Scanner«, »Simple Weather« oder »Verwandeln Sie Ihr Handy in eine drahtlose Maus«. Doch die Apps bieten nicht nur aktuelle Wetterprognosen oder simple Funktionen, sie sind auch ins Visier von Sicherheitsforschern geraten. Laut Experten der IT-Sicherheitsfirma AppCensus steckt in den Apps ein Code, der eine Überwachung von Nutzerinnen und Nutzern ermöglichen könnte.

In einem am Mittwoch veröffentlichten Bericht  warnen die Forscher, dass die Apps teilweise Standortdaten, Rufnummern oder E-Mail-Adressen an die Server der in Panama registrierten, kaum bekannten Firma Measurement Systems weitergeben. Die Datensammlung betrifft Apps, die viele Millionen Mal heruntergeladen wurden. Auffällig ist, dass darunter mehrere muslimische Gebets-Apps sind oder auch eine Wetter-App, die offenbar besonders in Iran populär ist. Die ganze Liste findet sich am Ende eines Blogbeitrags der Forscher .

Teilweise schickten die Apps GPS-Daten ihrer Nutzerinnen und Nutzer weiter, obwohl die App selbst gar keine Befugnisse hatte, Standortdaten zu sammeln. Auch Informationen darüber, welche Computer oder Smartphones im selben WLAN eingewählt waren, wurden erfasst.

Google hat bereits Ende März reagiert und die Apps laut dem »Wall Street Journal«, das zuerst über den Vorgang berichtete , am 25. März zeitweise aus dem Play Store gesperrt. Ein Google-Sprecher sagte der Zeitung aber, dass die Apps wieder in den Play Store zurückkehren könnten, wenn sie die problematische Software entfernten. Viele der Apps sind deshalb inzwischen wieder verfügbar. Google bestätigte dem SPIEGEL die Löschung der Apps und erklärte zu dem Vorfall: »Wenn eine App gegen unsere Regelungen verstößt, dann löschen wir sie.«

Datensammlung mithilfe eines Programmierbausteins

Die Datensammlung funktioniert laut den Experten mithilfe eines sogenannten SDK von Measurement Systems. Dabei handelt es sich um eine bei Apps häufig verwendete Form von Programmierbaukasten, bei dem sich Entwicklerfirmen bedienen, um bestimmte Teile ihrer Apps mit vorgefertigtem Code auszustatten. Im Gegenzug bekommen die SDK-Anbieter häufig Daten der Nutzerinnen und Nutzer der App.

Serge Egelmann, einer der beteiligten Forscher, spricht davon, dass der SDK-Code im aktuellen Fall »ohne Zweifel als Schadsoftware bezeichnet werden kann«. Sie hätten noch nie eine so tief in die Privatsphäre eindringende Form von SDK gesehen, so die Forscher gegenüber dem »Wall Street Journal«.

Laut dem Zeitungsbericht führen von den Entwicklern des SDK-Codes Spuren zu Firmen, die für nationale Sicherheitsbehörden der USA arbeiten und etwa Aufträge in Sachen Cyberspionage übernehmen. Demnach wurde die Webdomain der Entwicklerfirma Measurement Systems von einem amerikanischen Unternehmen angemeldet, das für die US-Regierung arbeitet.

Measurement Systems dementierte, in Verbindung mit Auftragnehmern der US-Regierung zu stehen. Das »Wall Street Journal« berichtete allerdings von internen Dokumenten, laut denen das Unternehmen Entwicklerinnen und Entwicklern bis zu 10.000 Dollar monatlich versprach, wenn ihre App eine besonders große aktive Nutzerschaft liefert. Laut der Zeitung bleibt allerdings unklar, was tatsächlich mit den gesammelten Daten geschieht.

Das US-Verteidigungsministerium und andere Sicherheitsbehörden in den USA haben grundsätzlich bereits eingestanden, große Datenmengen von kommerziellen Anbietern aufzukaufen. Der Markt für solche, auch über Apps gewonnene Daten ist in den letzten Jahren immer größer und unübersichtlicher geworden. Doch solche Informationen sind prinzipiell eine reizvolle Alternative für Sicherheitsbehörden, die sich mit zunehmend verschlüsselter Kommunikation konfrontiert sehen.

hpp