Ein Smartphone mit HD Auflösung für 50 Dollar ist ein verführerisches Angebot. Doch jetzt zeigt sich: Die Geräte haben dennoch ihren Preis – die Privatsphäre.
Die Sicherheitsfirma Kryptowire hat nämlich herausgefunden, dass eine Spionage-Software auf bestimmten Android-Modellen der Firma Blu Products Nutzerdaten sammelt und diese alle 72 Stunden an Server in China schickt. Hinter diesen Computern steckt das chinesische Unternehmen Shanghai Adups Technology.
Die Firma stellt die Infrastruktur zur Verfügung, über die elektronische Geräte vom Smartphone über den Fernseher bis zum Auto sich ein Firmware-Update herunterladen.
Tief im Smartphone-System drin
Firmware ist die Software, die zwischen der Elektronik eines Gerätes und dem Betriebssystem vermittelt. Für die Sicherheit ist das ein heikler Bereich. Man kann die Firmware so manipulieren, dass ein Aussenstehender unbemerkt und uneingeschränkt Zugriff auf das Gerät bekommt.
Für das Smartphone bedeutet das: Der Angreifer kann die Kontrolle übernehmen und hinter dem Rücken der Benutzer Apps installieren. Oder er kann sich Nutzerdaten verschaffen wie etwa Texte aus einem Chat, das Telefonbuch oder den Aufenthaltsort eines Besitzers.
Kryptowire hat nun beobachtet, wie das Billig-Smartphone R1 HD der amerikanischen Firma Blu Products genau solche Daten regelmässig an die Server der Firma Adups in China schickt. Die Geräte wurden in den USA unter anderem über die Plattform des Online-Händlers Amazon verkauft und über Werbung finanziert, die auf dem Smartphone angezeigt wurde.
Niemand ist Schuld
Blu Products teilt mit, dass 120'000 Geräte betroffen seien und dass man mit einem neuen Firmware-Update die Sicherheitslücke geschlossen habe.
Lily Lim, die Anwältin der chinesischen Firma Adups in den USA, meinte gegenüber der New York Times, dass es sich um einen Fehler handle, den eine private Firma begangen habe und dass Adups nichts mit der chinesischen Regierung zu tun habe.
Adups bestätigt, dass sie eine Software für chinesische Handy-Hersteller entwickelt hätten, die Nutzerdaten sammelt. Damit wolle man Spam-Nachrichten und -Anrufe bekämpfen. Diese Software sei nicht für Geräte gedacht, die ausserhalb Chinas verkauft werden. Dafür, dass diese dennoch auf die Smartphones von Blu Products gelangten, sei alleine der chinesische Hersteller dieser Geräte verantwortlich.
Virus-Schutz tappt im Dunkeln
Aufgeflogen ist die Spionage-Aktion, weil sich ein Angestellter der Sicherheitsfirma Kryptowire das billige Smartphone für einen Auslandaufenthalt gekauft hatte. Beim Einrichten fiel dem Sicherheitsexperten auf, dass das Handy regelmässig Nutzerdaten wie Textnachrichten oder die aktuelle Position nach China schickt.
Kryptowire ist dem Spionage-Leck durch Zufall auf die Spur gekommen. Anti-Viren-Software auf einem Smartphone kann solche Abhöraktionen nämlich nicht erkennen.
Wie sicher ist mein Smartphone?
Es ist nicht klar, welche Smartphones sonst noch von dieser Sicherheitslücke betroffen sind. Nach Angaben der Firma Adups beziehen insgesamt 700 Millionen aktive Nutzerinnen und Nutzer aus mehr als 200 Ländern regelmässig ein Update über ihre Plattform, auch für Smartphones und Tablets. Als Kunden listen die Chinesen auch die bekannten Hersteller Huawei und ZTE auf. Die beiden Firmen dementieren jedoch eine Zusammenarbeit mit Adups.
Der Fall macht einerseits klar, welche Schlüsselrolle einem Unternehmen wie Adups zukommt, das Updates für sicherheitsrelevante Software zur Verfügung stellt. Dass Smartphones von bekannten Herstellern bei uns mit ähnlicher Spionage-Software verseucht sind, ist eher unwahrscheinlich: Zu gross wäre der Imageschaden für eine Marke, wenn man dem Datenklau auf die Schliche käme.