Software der chinesischen Firma Shanghai Adups Technologies, die auf Billig-Smartphones in deren Android-Betriebssystem integriert ist, spioniert die Nutzer der Telefone aus und lädt massenhaft persönliche Daten auf Server in China. Der Update-Mechanismus für die Firmware der Geräte (Firmware Over The Air, FOTA) analysiert das Nutzerverhalten der Anwender, um Herstellern und Providern die Möglichkeit zu geben, diesen gezielt Werbung anzubieten. Die Software ist laut Adups auf über 700 Millionen Geräten weltweit installiert. Betroffen ist der Hersteller BLU Products, dessen Geräte exklusiv auf Amazon vertrieben werden, aber wohl auch größere Anbieter wie ZTE.

Umfassende Spionage

Die abgegriffenen Daten beinhalten Telefonnummern, Telefon-spezifische-Informationen wie die IMEI, den Inhalt von Text-Nachrichten, den genauen Standort, die komplette Verbindungshistorie und auf dem Gerät installierte Apps. Laut der Sicherheitsfirma Kryptowire, welche die Software unter Laborbedingungen untersucht hat, kann Adups aber auch Apps auf dem Gerät installieren und Befehle ausführen. Die Software umgeht das Rechtesystem von Android und ist nur schwer aufzuspüren, wenn man nicht weiß, wonach man sucht. Da Anti-Viren-Programme in der Regel davon ausgehen, dass Software, die mit dem Gerät ausgeliefert wird harmlos ist, sind auch sie in diesem Fall wirkungslos geblieben.

Die Software hatte die gesammelten Daten verschlüsselt und im JSON-Format auf mehrere Server mit chinesischen Domains hochgeladen, die vom Namen nach von Adups kontrolliert werden. Die meisten Daten wurden alle 24 Stunden erhoben, Textnachrichten und die Verbindungshistorie wurden alle 72 Stunden übertragen. Kryptowire arbeitet eng mit der US-Heimatschutzbehörde zusammen, hat diesen Fall aber nach eigenen Angaben unabhängig und durch Zufall untersucht. Ein Forscher der Firma habe ein BLU R1 HD als günstiges Handy für eine Auslandsreise gekauft und beim Einrichten merkwürdigen Netzwerk-Traffic entdeckt.

Alles nur ein Versehen

Welche Geräte genau betroffen sind, ist unbekannt. Ein Sprecher von Adups Technologies sagte gegenüber der New York Times, seine Firma habe einen Fehler begangen. Es handele sich dabei nicht um eine staatliche Spionageaktion, so der Tenor der Stellungnahme. Die betroffenen Geräte seien für den chinesischen Markt bestimmt gewesen und die Spionagefunktionen seien auf den Wunsch chinesischer Gerätehersteller hin entwickelt worden. Ob die Spionagesoftware auch auf BLU-Geräten installiert ist, die als Import in deutschen Online-Shops angeboten wurden, konnte heise Security bis jetzt nicht verifizieren. Es ist aber immerhin denkbar.

Der Hersteller BLU gab bekannt, ein Over-The-Air-Update habe die Spionagefunktionen aus den Geräten entfernt, nachdem Kryptowire den Hersteller sowie Adups, Google und Amazon informiert hatte. Huawei, von der Times ebenfalls als Kunde der Adups-Software genannt, hat sich mittlerweile geäußert: Man habe nie in irgend einer Form mit der Firma zusammengearbeitet.

Der Fall erinnert in gewisser Weise an die Carrier-IQ-Software, die im Dezember 2011 auf Millionen von Smartphones verschiedener Hersteller entdeckt worden war. Auch diese Software sollte Nutzerdaten für Hersteller und Provider sammeln. Der Fall hatte seinerzeit gehörig Wellen geschlagen und zu einer Reihe von Klagen gegen den Hersteller der Software geführt. Unter anderem hatte die US-Handelskommission FTC rechtliche Schritte eingeleitet. (fab)