Hintergrund
5733

Sicherheitswarnung: Meitu – Die App schleudert deine persönlichen Daten nach China

Dominik Bärlocher
20.1.2017

Die chinesische App Meitu hübscht deine Fotos nach chinesischem Ästhetikverstehen auf – also mit viel Kitsch, Pastell und Pomp. Und sie sendet ungefragt persönliche Daten nach China. Daher: Installiert die App nicht. Oder deinstalliert sie.

Die Schweizer Gratiszeitung 20 Minuten titelt heute auf ihrer Online-Front «Die total verrückte Selfie-App aus China im Test». Darin beschreibt sie die Features der App mit dem Namen Meitu, die solche Bilder produziert. Es ist davon auszugehen, dass heute eine grosse Anzahl Nutzer sich die «total crazy» App aus dem Store ziehen wird.

Damit setzt sich jeder Nutzer, der sich die App aufs Phone lädt, einem Risiko aus. Denn der Security Researcher FourOctets hat auf seinem Twitter-Feed auf folgendes Sicherheitsleck aufmerksam gemacht.

«Nur damit ihr’s wisst, die Photo App, die euch wie Animefiguren aussehen lässt, schickt eure IMEI nach China»

Da Twitter im InfoSec-Bereich als öffentliches Austauschmittel Fuss gefasst hat, ging die Untersuchung los. Greg Linares äussert sich ungläubig mit dem Tweet «Nur damit ich das richtig verstehe, ihr habt eine App mit folgenden Permissions installiert. Lasst mich wissen, wie gut das geht».

Alle Berechtigungen der Meitu App

Auf Deutsch:

Geräte- & App-Verlauf

  • Aktive Apps abrufen

Standort

  • Ungefährer Standort (netzwerkbasiert)
  • Genauer Standort (GPS- und netzwerkbasiert)

Telefon

  • Telefonstatus und Identität abrufen
  • Fotos/Medien/Dateien
  • USB-Speicherinhalte lesen
  • USB-Speicherinhalte ändern oder löschen

Speicher

  • USB-Speicherinhalte lesen
  • USB-Speicherinhalte ändern oder löschen
  • Kamera
  • Bilder und Videos aufnehmen
  • WLAN-Verbindungsinformationen
  • WLAN-Verbindungen abrufen

Geräte-ID & Anrufinformationen

  • Telefonstatus und Identität abrufen

Sonstige

  • Daten aus dem Internet abrufen
  • Netzwerkverbindungen abrufen
  • System-Anzeigeeinstellungen ändern
  • Zugriff auf alle Netzwerke
  • Audio-Einstellungen ändern
  • Beim Start ausführen
  • Aktive Apps neu ordnen
  • Vibrationsalarm steuern
  • Ruhezustand deaktivieren
  • Google Play-Lizenzprüfung

Zum Vergleich: Die Facebook-App ist in ähnlichem Ausmass an deinen Daten interessiert, bietet aber auch wesentlich mehr Funktionen. Für Meitu würden, wenn die Programmierer minimalistisch hätten vorgehen dürfen, Zugriff auf Speicher und Kamera ausreichen.

Was ist eine IMEI?

IMEI steht für International Mobile Equipment Identity also die Internationale Identität für Mobiles Equipment. Alles smarte in deiner Hosentasche hat eine IMEI, also Smartwatch, Smartphone, Tablet, Phablet und so weiter. Die IMEI-Nummer besteht aus einer Zeichensequenz, alles davon Zahlen. Sie wird für jedes Gerät einzeln vergeben und bleibt in der Regel geheim und ungenutzt. Mit der IMEI kann zweifelsfrei festgestellt werden, welches Telefon zur Signalübertragung genutzt wird.

Die IMEI ist einer der wichtigsten Metadatensätzen im Mobilbereich, denn sie identifiziert dich zwar nicht direkt, aber wenn du nur einen Account auf dem Handy hast, den mit Passwort oder PIN oder Fingerabdruck gesichert hast und dein Account auch noch auf vorname.nachname@gmail.com oder so lautet, dann ist der Fall klar.

Was mit Metadaten alles angestellt werden kann, erklärt der Datenanalyst David Kriesel in diesem Talk ab der Marke 12:08.

Ferner werden laut AndroidPolice.com Daten über das Modell des Smartphones, die Bildschirmauflösung, die Android- oder iOS-Version, die MAC-Adresse des Geräts und noch weitere Daten an chinesische Server übermittelt.

Diese Daten sendet Meitu im Austausch für «total verrückte Selfies» in alle Welt hinaus. Unter anderem nach China, einem Land, das es mit den Persönlichkeitsrechten und dem Gesetz manchmal nicht so hat.

Warum macht Meitu das?

Über die Gründe wird derzeit spekuliert, doch Twitter-User Pheonix7284 glaubt, eine Lösung zu haben. Er verweist dabei auf einen Report der Site InsidePrivacy.com, der die neuen Bestimmungen für Apps aus China beschreibt.

Kurz: Seit dem 1. August 2016 müssen alle Apps, die in China programmiert werden, Metadaten sammeln.

  • Die App muss ihre User authentisieren, indem sie eine verifizierte Telefonnummer oder andere direkt identifizierende Daten an ein Online-Profil knüpfen. Also dein anonymes Twitter-Profil wird mit deinem Account-Namen vorname.nachname@gmail.com verknüpft
  • Activity Logs, also Aufzeichungen deiner Aktivitäten, müssen 60 Tage lang gespeichert werden
  • Die App muss Regulatoren einhalten und Lizenzen beziehen, die App-spezifisch sind. Dies ist nicht genauer umrissen
  • App Provider müssen sicherstellen können, dass ihre Apps keine Posts zulassen, die in irgendeiner Form gegen das chinesische Gesetz verstossen
  • App Provider müssen diese Rechtsverstösse softwareseitig aufspüren können
  • App Provider müssen diese Rechtsverstösse ausnahmslos melden
  • App Provider müssen sich einer oder mehrer Inspektionen der lokalen Autoritäten untwerfen

Da China nach wie vor Zensur ausübt. Beispiel gefällig?

Wenn du in der Schweizer Version Googles nach «Tiananmen Square», also Platz des himmlischen Friedens, suchst, dann kommt als erstes folgendes Resultat.

Erstes Suchresultat: Proteste gegen die Regierung

Wenn du auf auf Google Hong Kong, eine direkte chinesische Version gibt es nicht, nach 天安门广场 – der chinesischen Übersetzung des Ortsnamens – suchst, dann erscheint Folgendes:

Erstes Suchresultat: Der Wikieintrag zum Platz selbst

China hat aber hinter der grossen Firewall eine eigene Suchmaschine. Sie heisst Baidu. Wenn wir also Baidu anschmeissen und nach 天安门广场 suchen, dann erscheint Folgendes:

Von Protesten keine Spur

Die Auswirkung der Zensur

«Was für Proteste», fragst du jetzt. Vielleicht weisst du nicht viel über die Proteste, aber ein Bild davon hast du bestimmt schon gesehen. Chinesen, die nie ausserhalb Chinas suchen, kennen das ikonische Bild des sogenannten Tank Man nicht.

Der Mann mit den Einkaufstaschen ist immer noch unbekannt

Das Bild ist auch aus China relativ einfach zu finden, indem du eine internationale Version Googles direkt ansteuerst. Das Problem ist jetzt aber, dass dies bereits als Verstoss gegen das chinesische Gesetz gelten könnte und dich als politischen Dissidenten brandmarkt. Als Tourist ist das nicht wirklich ein grosses Problem, doch als chinesischer Bürger, der in China leben muss, hast du grösste Probleme, die im Extremfall mit deiner Exekution enden können.

Die Mechanismen, die Chinesischen App-Herstellern aufgezwungen werden – vor allem jene mit Identifikationsmerkmalen – sind also dazu da, diese Dissidenten aufzuspüren und zu identifizieren. Es geht ausnahmsweise mal nicht um Werbung, sondern um Menschenleben.

Nun meine zugegebenermassen polemische Frage: Willst du im Austausch für ein von der Schweizer Boulevardpresse empfohlenes «total verrücktes Selfie» den Chinesen deine Identität preisgeben, damit sie deine Daten analysieren und dich eventuell als potentieller Dissident und Gefahr für ihren Staat brandmarken?

Das könnte dich auch interessieren

  • Hintergrund

    WhatsApp-Sicherheitslücke – Der Erfinder spricht über «fundamentales Problem der Kryptographie»

    von Dominik Bärlocher

  • Hintergrund

    Sicherheitslücke in WhatsApp – Forscher entdeckt Hintertür, Facebook ist es egal

    von Dominik Bärlocher

57 Personen gefällt dieser Artikel

User Avatar
User Avatar
Dominik Bärlocher
Senior Editor
dominik.baerlocher@digitecgalaxus.ch

Journalist. Autor. Hacker. Ich bin Geschichtenerzähler und suche Grenzen, Geheimnisse und Tabus. Ich dokumentiere die Welt, schwarz auf weiss. Nicht, weil ich kann, sondern weil ich nicht anders kann.

Kommentare

Avatar