In dieser Woche haben mein Republik-Kollege Basil Schöni und ich eine zweiteilige Recherche zum Thema mSpy publiziert. Einer Spyware-App, mit der Privatpersonen Zugriff auf das gesamte digitale Leben einer anderen Person erhalten. Voraussetzung ist die Installation der Spyware auf einem Smartphone. Die meisten Anwendungsszenarien: innerhalb von Familien und in Beziehungen/Partnerschaften.
Dabei haben wir uns stets mit den Kolleg:innen von SRF ausgetauscht, die diese Woche einen sehr sehenswerten Beitrag (Kassensturz und Impact) publizierten. Möglich machte die Recherche die Hackerin und Journalistin maia arson crimew, die den Datensatz zugespielt bekommen hat und an das Kollektiv DDoS-Secrets übergeben hat. Sie hat selber massive Vorarbeit bei der Recherche geleistet und einige spannende „Use Cases“ gefunden.
Nicht alle davon konnten wir in der zweiteiligen Mini-Serie verwerten (die Republik-Artikel sind ja bekanntlich lange genug). Deshalb schreibe ich bei dnip.ch über ein weiteres Fundstück und noch einen Aspekt, welche beide meiner Meinung nach ebenfalls Beachtung bekommen sollten.
Hinweis: Dieser Beitrag ist ein kleines Follow-Up (als eine Art „PS“ gedacht) zur Serie. Ich empfehle für das bessere Verständnis auf jeden Fall zuerst Teil I und Teil II der Mini-Serie der Republik zu lesen.
1. Der Digital Market Act – ein kontraproduktives Gesetz?
Wie wir in Teil II beschrieben haben, hat mSpy einen miserablen Leistungsausweis in Sachen Cybersecurity (was bezeichnend für die gesamte Branche der kommerziellen Spionage-Apps). Die App wurde schon 3 Mal in den letzten 10 Jahren gehackt, von Cyberkriminellen oder von einem Sicherheitsforscher.
Alle diese Sicherheitsmängel scheinen mSpy nichts anzuhaben. Was auch mit der nicht vorhandenen Informationspolitik des Unternehmens zusammenhängt. Die Betroffenen (ob nun Kunden oder Opfer der Überwachung) werden im Dunkeln gelassen. Und nie informiert über den Datenverlust. Die meisten wissen wohl bis heute nicht, dass ihre teils sensitivsten Informationen wie öffentlich unter einem Link oder im Darknet frei zugänglich sind.
Die IT-Security bei Spyware-Apps sei allgemein unglaublich schlecht, sagt die ethische Hackerin und Bloggerin maia arson crimew: “Diesen Firmen ist es schlichtweg egal, wie sie mit Nutzerdaten umgehen”. Die Hackerin ist vor allem darüber erstaunt, dass eine App wie mSpy, die in Europa weit verbreitet ist, noch keine rechtlichen Konsequenzen erdulden musste.
Seit Google und Apple gegen solche Apps vorgehen, ist der Download dieser Anwendungen nur über die Websites der Firmen selbst möglich. Dieser alternative Markt (Off-Store-Apps) ist leider völlig unter dem Radar der Behörden.
Ausgerechnet ein neues EU-Gesetz könnte die Situation noch verschlechtern. Der Digital Market Act. Dieser war eigentlich dafür gedacht um die dominante Position von Google und Apple in Sachen App-Stores aufzubrechen. Denn Apple und auch Google sind bekannt dafür App-Entwickler:innen willkürliche Richtlinien aufzuoktroyieren und relativ viele Einnahmen für sich selbst abzuzwacken. Damit soll nach dem Willen von Brüssel Schluss sein. Apple und Google müssen Nutzern neu die Möglichkeit geben, Apps aus alternativen Quellen zu installieren. Um damit die Abhängigkeit von offiziellen App-Stores zu reduzieren.
Doch der europäische DMA könnte im schlimmsten Fall sogar eine kontraproduktive Wirkung haben, sagt Eva-Maria Maier. Sie war Teil der Forschungsgruppe des Labs „Gender und Tech“ unter der Leitung von Professorin Leonie Tanczer, die zu geschlechterspezifischen Dimension von Spyware/Stalkerware forscht. Das Gesetz könne “speziell auf iOS-Geräten zu einer erheblichen Ankurbelung des Marktes für Malware, Stalkerware und ähnliche Software führen”. Sie und ihre Kollegin Leonie Tanczer fordern deshalb von den europäischen Datenschutzbehörden eine strengere Überwachung dieser Off Store-Apps (die man mit Sideloading herunterladen kann).
Update 22.11.2024: Ein wichtiges Gegenargument zu dieser Position der Forscherinnen lautet: Apple plant, neue Sicherheitsmechanismen wie die „Notarisierung“ einzuführen, um die Integrität von Apps auch außerhalb des App Stores zu gewährleisten.
Womöglich bleibt unklar wie sich der DMA (der sonst viele wichtige wettbewerbsfördernde Massnahmen einführt) auswirken wird. So oder so: Die Off Store-Apps sind absolut unter dem Radar der europäischen Behörden (im Gegensatz zu den USA).
2. Datenhändler wollen an den Speck
mSpy gilt als eines der invasivsten Apps und zapft am meisten Datenquellen an (bzw fordert die meisten Berechtigungen an, wie Forscherin Eva-Maria Maier in der Republik-Recherche sagte).
Kein Wunder wollen sich an diesem riesigen Datentopf auch Unternehmensberatungsfirmen, Broker und Händler bereichern. Auf Hinweis von maia arson crimew fanden wir drei Unternehmen, die sich vor allem für die Standortdaten von mSpy-Betroffenen interessierten: darunter die deutsche Firma Umlaut, die zwischenzeitlich vom Beratungsriesen Accenture aufgekauft worden ist. Sie fragte mSpy für die Weitergabe von Telekommunikationsdaten an. Ein anderer Player ist placer.ai, der Handel mit Standort-Daten betreibt (Link: ein Techcrunch-Artikel der vor allem das dubiose Geschäftsmodell von placer.ai aufzeigt). Und nicht zuletzt die Firma Mintel, die von den mSpy-Betreibern wissen wollte, ob diese die Werbedaten von Facebook und Snapchat (die Betroffenen eingeblendet werden) auswerten und ihnen verkaufen würden.
Dass sie damit auf illegale Art und Weise an die sensitivsten Informationen von nichts ahnenden Opfern gelangen, scheint die drei Händler nicht gross zu interessieren. Ob mSpy auf die Anfragen der drei Unternehmen eingegangen ist, wissen wir nicht. Das Unternehmen hat allgemein bis heute keine Anfragen von von SRF und uns beantwortet.
Spyware-Forscherin Eva-Maria Maier erklärt, dass bei der mSpy-App auch eine Datenschutzerklärung fehle, wie sie solche Apps gemäss EU-Gesetz eigentlich vorsehen sollten. Die Kunden haben keine Ahnung, worauf sie sich genau einlassen, auch was die Sicherheit ihrer eigenes Nutzerprofils angeht.
Dieser Aspekt dünkt mich angesichts der neusten #Databroker-Files-Recherche von Netzpolitik.org, BR und Wired extrem relevant. Dasselbe gilt auch für die Vorarbeit die SRF geleistet hat zum Thema Advertising Tech und Weitergabe sensitiver Daten wie Bewegungsprofile und schützenswerte Personendaten (beispielsweise Gesundheitsinformationen, wenn jemand eine Website eines Spitals aufruft) ) an Geheimdienste gelangen. Dank diesen Recherchen wissen wir: Diese Behörden können dies „legal“ erwerben und brauchen nicht einmal unsere Handys zu hacken.
Die Support-Tickets von placer.ai, Mintel und Umlaut bei mSpy bieten damit Einblick in den Datenhandel (oder zumindest in den Versuch des Datenerwerbs von dubiosen Drittapps) der unsichtbar hinter den Kulissen abläuft.
3. Wie erkenne ich mSpy auf meinem Smartphone?
Wie man sich gegen die Installation von mSpy schützen kann, haben Basil und ich in Teil I geschrieben. Das Erkennen von Spyware ist sehr tricky. Antiviren-Hersteller wie Avast oder Kaspersky spüren viele unsichtbare Apps auf, die nicht vom App Store heruntergeladen werden. Doch solche Programme haben ebenfalls ihre Tücken.
Hier ein paar allgemeine Tipps:
Für Android:
- Nach einer App namens „Update Service“ suchen (das ist die aktuelle „Tarnung“ für mSpy)
- Unter „Datenschutz & Sicherheit“ → „Mehr Sicherheit und Datenschutz → „Apps zur Geräteverwaltung“ nach Apps schauen, die nicht von Google oder vom Handyhersteller kommen.
Schauen ob Dein Android-Smartphone gerooted worden ist (also die gängigen Sicherheitsvorkehrungen aufgehoben worden sind):
- Öffne Settings => About phone/Telefon.
- Auf „Statusinformation“ gehen.
- Telefonstatus checken. Wenn „offiziell“, dann: In Ordnung. Sonst würde „custom“ stehen.
Abgesehen davon: immer schauen welche Apps welche Berechtigungen anfordern, besonders bei Kamera, Standort und Mikrofon.
Für iPhone:
Hier erhält der Täter/Täterin Zugang zu einem iPhone via Jailbreak oder via iCloud-Zugangsdaten.
Die Tipps:
- Batterieverbrauch beobachten (bei mSpy besonders hoch)
- Schaue welche Apps Berechtigung haben auf Kamera, Mikrofon und Kamera (Einstellungen => Datenschutz und Sicherheit => Location Services)
- Schauen ob es Benachrichtigungen gibt zu iCloud-Logins, die nicht von Dir stammen.
- Schauen ob Dein iPhone gejailbreakt wurde. Suche nach ungewöhnlichen Apps wie Cydia, Zebra, Installer 5 oder Sileo, die sich nicht löschen lassen. Schaue ob dein eBanking via Smartphone funktioniert.
Diese Tipps bieten keine 100%-ige Erkennungsgarantie. Stalkerware/Spyware oder eben kommerzielle Spionage-Apps können immer noch unerkannt bleiben auf deinem Smartphone. Aber sie bieten schon mal ein paar Anhaltspunkte, worauf man achten kann bei Verdacht.
Eine Antwort
Ich lese hier das erste Mal von für mich validen Gründen, die gegen einen zusätzlichen App-Store sprechen.
Für mich gehört die Möglichkeit bei Android des Side-Loadings, also der Installation einer App unter Umgehung des offiziellen Stores via APK-Datei zu den wesentlichen Vorteilen von Android und deshalb würde ein Apple-Gerät für mich nie in Frage kommen. Ich bin auch ein Fan des F-Droid App-Stores, über den ausschliesslich Opensource-Apps wie Aeris, Keepass oder Thunderbird kostenlos installiert und Aktualisiert werden können – aber ich kann damit auch umgehen und mein Gerät bekommt niemand ausser mir in die Hand.
Ich frage mich gerade wirklich, wie ich mit der Sachlage umgehen muss und bin zugegebenermassen etwas ratlos. Insbesondere, weil das ja irgendwie wohl auch mit iPhones (das sind die ohne Side-Loading ausserhalb der EU) gehen soll.