Experiment Rebecca „DataBaby“ – Smartphones kontaktieren ohne unser Wissen hunderte Server

MWR_Security_Rebecca_DataBaby

Für die meisten unter uns ist das Smartphone mittlerweile zum wichtigsten Begleiter überhaupt geworden. Neben reiner Kommunikation organisieren wir mit dem kleinen Wunderding einen Großteil unseres Tagesablaufs und nicht wenige vertrauen dem digitalen Freund ihr halbes Leben an. Natürlich wecken diese Daten auch Begehrlichkeiten, liefern sie doch ein Profil von uns das wir persönlich nicht besser beschreiben könnten.

Die britischen Sicherheitsexperten von MWR Security haben nun in einem Versuch recht erschreckende Zahlen präsentiert wie unglaublich häufig unsere Smartphones ohne unser Wissen durch die Gegend funken. Versuchsperson Rebecca Taylor ist 27 Jahre alt und lebt in London. Ihre Hobbys sind Reisen, die Fotografie und sie hört gerne Musik. Rebecca nutzt alle wichtigen sozialen Netzwerke, darunter Facebook, Twitter und Pinterest. So wurde es vom mitwirkenden britischen Sender Channel 4 kommuniziert. Intern handelt es sich bei Rebecca mitnichten um eine junge Frau sondern ganz lapidar um ein Smartphone sowie ein Notebook, die auf den Namen Data Baby hören.

Neben den vorinstallierten Anwendungen wurde Data Baby bei diesem Experiment mit 30 der beliebtesten Apps aus Googles Play Store bestückt. Mit darunter waren so beliebte Apps wie WhatsApp, Google Translate, Skype oder auch das Spiel Candy Crush Saga die allesamt mehr als 100 Millionen mal weltweit auf den Smartphones installiert sind.

350000 Kontakte mit 315 PC-Server

Innerhalb von nur 24 Stunden hatte Rebeccas Smartphone in unglaublichen 350000 Fällen mit insgesamt 350 PC-Servern kommuniziert. Selbst in absoluten Ruhephasen bei denen die Sicherheitsexperten das Handy nicht einmal berührten war Rebecca aktiv und kontaktierte weitere 76 Server ungeheure 30000 mal. Die weitverbreitete Annahme, dass unsere Smartphones nur dann funken wenn wir sie auch benutzen ist damit endgültig wiederlegt.

Natürlich basiert das Modell heutiger Smartphone Apps auf dem Prinzip der Hintergrundüberwachung, nach der neue Mails, Chateinträge oder Statusnachrichten in regelmässigen Abständen von den beteiligten Servern abgerufen werden. Doch Data Baby zeigt nun, dass in vielen Fällen Informationen übertragen werden, die für das Funktionieren der Apps gar nicht notwendig sind.

Smartphone überträgt ungefragt IMEI-Nummer

Schlimmer noch, denn wie die Forscher herausgefunden haben hat Rebecca in mehreren Fällen die ID-Nummer des Smartphone übertragen. Bei der sog. IMEI-Nummer (International Mobile Station Equipment Identity) handelt es sich um eine 15-stellige Zahlenkombination ähnlich der MAC-Adresse bei einem PC mit der jedes Smartphone unverwechselbar und eindeutig identifiziert werden kann. Zusätzlich wurde mehrfach der Standort mit einer Genauigkeit von wenigen Metern übertragen. Empfänger dieser Daten waren z.B. Werbefirmen in der Ukraine und den USA die mithilfe der Nutzeridentifizierung plus einem MIX anderer Daten personalisierte Werbung auf die Werbebanner der Smartphone Apps schicken.

Kinder-App Talking TOM als Datensauger

MWR_Security_TalkingTOMEine dieser Apps, die ganz bewusst persönliche Daten überträgt ist gerade bei Kindern sehr beliebt und nennt sich Talking TOM. Hierbei erscheint eine Katze auf dem Display, die in veränderter Stimme das nachspricht was man ihr vorspricht. In Googles Play Store finden sich allein 6 Versionen des Entwicklers Outfit7, die zwischen 100-500 Millionen heruntergeladen worden sind.

Falls ihr jetzt glaubt das Talking TOM in irgendeiner Weise gegen geltendes Recht verstößt seit ihr auf dem Holzweg. Unscheinbar aber doch nicht zu übersehen hat Entwickler Outfit7 am Ende des Play Store Angebots von Talking TOM einen Link zur Datenschutzerklärung platziert dessen Inhalt einen weiteren Blick wert ist. Mit Installation der App stimmt der User der Übertragung all seiner Daten persönlicher wie technischer Natur ausdrücklich zu und gestattet Outfit7 zudem selbige an Dritte weiterzugeben.

Auszug aus der Datenschutzerklärung von Outfit7

Collection of device and technical information (2)
We automatically obtain certain information about your computing device, including:

  • IP address;
  • Unique device identifiers, such as UDIDs;
  • ZIP code and telephone area code where your device is located;
  • Language;
  • Country code;
  • Time zone, session start/stop time, locale (specific location where a given language is spoken),
  • network status (WiFi, etc.), browser plug-in types and versions
  • Agent version, platform, SDK version, timestamp
  • Geolocation data sufficient to identify street name and  name of a city or town is not being collected,
  • Outfit7 Applications installed;
  • Technical device information (e.g., device model and name, operating system name and version, CPU information, storage size, screen size, firmware, software, mobile phone carrier, Internet service provider, API key identifier for application, iOS Identifier for Advertising, Media Access Control (MAC) address, International Mobile Equipment Identity (IMEI)  ); and

Unbedachte Einwilligung der User bei den Apps-Rechten

Dabei stellt Talking TOM nur eine von vielen Anwendungen dar die auf diese Weise an unsere Daten kommen und bei denen wir als User nicht ganz unschuldig sind. Mal ganz ehrlich wer von euch liest denn schon bei der Installation neuer Apps jedes mal die angeforderten Rechte der App durch bevor ihr auf den Install Button drückt. Klar ist das OTTO Normaluser zum Teil hoffnungsvoll überfordert ist wenn er die Tragweite mancher Rechte-Einwilligungen abschätzen soll. Persönlich würde ich mir deshalb für die Zukunft wünschen das Google nicht unbedingt notwendige Rechte gar nicht erst zulassen würde. Ob allerdings ein Konzern, der seine Milliarden hauptsächlich mit userbasierter Werbung verdient gegen genau diese Datenerhebung vorgeht, die wieder Werbung zum Ziel hat ist mehr als fraglich.

Bleibt zum Schluss der Rat der Experten, dass Telefone nur dann absolut keine Daten übertragen wenn sie ausgeschaltet sind oder sich im sog. Flugmodus befinden. Wie haltet ihr es persönlich mit dem Datenschutz auf eurem Smartphone? Ich warte gespannt auf eure Kommentare!

Quellen:

MWR Security

Die Welt

DataBaby Facebook

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s