Seite 2: Die App Sogou bittet um "Vollzugriff"

Inhaltsverzeichnis

Eine Tastatur-App kann auf eine Vielzahl von Nutzerinformationen zugreifen. Sobald Sogou heruntergeladen und zu den iPhone-Tastaturoptionen hinzugefügt wurde, bittet die App beispielsweise um "Vollzugriff". Wenn dieser gewährt wird, kann alles, was der Nutzer tippt, an den cloudbasierten Server von Sogou gesendet werden. Die Verbindung mit der Cloud ist das, was heutzutage die meisten IMEs erfolgreich macht, da sie die Textvorhersage verbessert und andere Funktionen wie die Suche nach GIF-Bildern oder Memes ermöglicht. Dies birgt jedoch auch Risiken, da die Inhalte zumindest theoretisch während der Übertragung abgefangen werden könnten.

Es liegt in der Verantwortung der App-Anbieter, die Daten ordnungsgemäß zu verschlüsseln und Schnüffelei zu verhindern. In den Datenschutzrichtlinien von Sogou heißt es, dass Sogou "branchenübliche technologische Sicherheitsmaßnahmen" ergriffen hat, um "Verlust, Zerstörung, Missbrauch, unbefugten Zugriff, unbefugte Weitergabe oder Veränderung" persönlicher Daten des Nutzers "bestmöglich" zu verhindern.

"Die Leute hatten schon vorher den Verdacht, dass es Probleme bei der Sicherheit von Tastatur-Apps geben könnte, weil sie für [ihren] Cloud-Service werben", sagt Citizen-Lab-Fellow Wang. "Es schien sicher, dass sie eine Anzahl von Tastenanschlägen über das Internet senden. Dennoch haben die Nutzer den Apps weiterhin vollen Zugriff gewährt."

Als die Citizen Lab-Forscher die Sogou-Eingabemethode auf den Windows-, Android- und iOS-Plattformen untersuchten, stellten sie fest, dass sie "EncryptWall", ein selbst entwickeltes Verschlüsselungssystem, anstelle von Transport Layer Security (TLS), dem seit 1999 verwendeten internationalen Standard-Kryptografieprotokoll für das Web, verwendet. (Sogou wird auch auf anderen Plattformen wie macOS und Linux angeboten, diese haben sich die Forscher aber noch nicht angesehen.) Ein entscheidender Unterschied zwischen den beiden Verschlüsselungssystemen besteht laut Citizen Lab darin, dass EncryptWall von Sogou immer noch anfällig für eine Sicherheitslücke ist, die 2002 entdeckt wurde und verschlüsselte Daten wieder in Klartext verwandeln kann. TLS wurde bereits 2003 zum Schutz vor dieser Schwachstelle aktualisiert. Mit dem EncryptWall-Angriff gelang es den Forschern dann, die Tastenanschläge zu entschlüsseln, die sie eingegeben hatten.

Die Existenz dieser Lücke bedeutete, dass die Benutzer für alle Arten von Hacks anfällig waren. Die getippten Inhalte konnten abgefangen werden, während sie durch VPN-Software, Heim-WLAN-Router und Telekommunikationsanbieter wanderten. Immerhin: Nicht jedes Wort wird in die Cloud übertragen, fanden die Forscher heraus. "Wenn man nihao ['hallo' auf Chinesisch] oder etwas Ähnliches eingibt, kann [die App] reagieren, ohne die Cloud-Datenbank nutzen zu müssen", sagt Knockel. "Aber wenn es sich um kompliziertere und interessantere Themen handelt, die man eintippt, muss sie auf die Cloud-Datenbank zugreifen." Neben dem eingetippten Inhalt erhielten Knockel und seine Kollegen vom Citizen Lab auch andere Informationen wie die technischen Kennungen des Geräts des Benutzers, die App, in der die Eingabe erfolgte – und sogar eine Liste aller auf dem Gerät installierter Apps.

Wenn sicheres Messaging unsicher wird

Die Forscher glauben, dass viele problematische Akteure ernsthaft daran interessiert sind, Sicherheitslöcher wie diese auszunutzen und Tastatureingaben mitzulesen. Das können sowohl Cyberkriminelle sein, die auf private Informationen (wie Adressen und Kontonummern) aus sind, als auch Strafverfolger und Spione aus der Regierung. In einer schriftlichen Antwort an Citizen Lab erklärte Sogou, dass die Übertragung der eingetippten Texte erforderlich ist, um auf das genauere und umfangreichere Vokabular in der Cloud zuzugreifen. Nur so sei die integrierte Suchmaschine nutzbar. Alle Verwendungszwecke seien in den Datenschutzbedingungen genannt. Die Lücke in EncryptWall wurde geschlossen, als Tencent die Sogou-Software Ende Juli plattformübergreifend aktualisierte. Laut Citizen Lab war das einfach: Man stellte einfach auf das TLS-Verschlüsselungsprotokoll um. Ein Sprecher des Konkurrenten Baidu sagte, Baidu Input Method halte sich "konsequent an die etablierten Standards für Sicherheitspraktiken". Es gebe in den Produkten keine Schwachstellen, die der Lücke in der Sogou-App entsprechen.

Gefahren aus solchen Lücken ergibt sich auch für eine besondere Zielgruppe: Nutzer verschlüsselter Messenger-Apps. Auf der ganzen Welt haben sich Menschen, die dem Risiko ausgesetzt sind, von staatlichen Behörden überwacht zu werden, Apps zugewandt, die Ende-zu-Ende-Verschlüsselung bieten. Wenn nun aber die verwendete Tastatur-App angreifbar ist, sind auch sonst verschlüsselte Kommunikationsprogramme wie Signal oder WhatsApp unsicher. Wenn eine Tastatur-App kompromittiert ist, kann sogar eine ansonsten offline arbeitende App, etwa das im iPhone integrierte Notizbuch, ein Sicherheitsrisiko darstellen. Signal und WhatsApp reagierten nicht auf die Anfragen von MIT Technology Review nach einem Kommentar.

Überwachung durch Industrie und Staat

Das Sicherheitsrisiko ist für Nutzer in China besonders akut, da sie häufig Tastatur-Apps verwenden und gleichzeitig unter staatlicher Überwachung stehen. Doch auch andere Regierungen scheinen auf Schwachstellen bei der verschlüsselten Datenübertragung aufmerksam geworden zu sein. Aus einem 2012 von Edward Snowden veröffentlichten Dokument geht beispielsweise hervor, dass das Geheimdienstbündnis Five Eyes – bestehend aus Kanada, den USA, Großbritannien, Australien und Neuseeland – diskret eine ähnliche Lücke in "UC Browser", einer beliebten chinesischen Software, ausgenutzt hat, um bestimmte Übertragungen abzufangen.

Abgesehen davon, dass Nutzer von staatlichen Akteuren ins Visier genommen werden, gibt es weitere Möglichkeiten, wie über Tastatur-Apps erfasste Tastenanschlagsdaten an Dritte verkauft, weitergegeben oder gehackt werden könnten. Im Jahr 2021 wurde berichtet, dass Werbetreibende über Sogou, die Baidu-Tastatur und ähnliche Apps auf persönliche Daten zugreifen und diese für die Schaltung maßgeschneiderter Werbung nutzen konnten. Und schon 2013 wurde ein Schlupfloch gefunden, durch das Multimediadateien, die Nutzer über Sogou hochgeladen und geteilt hatten, auf Bing durchsuchbar wurden.

Diese Sicherheitsprobleme gibt es nicht nur bei chinesischen Apps. Im Jahr 2016 stellten Nutzer von SwiftKey, einer IME, die im selben Jahr von Microsoft übernommen wurde, fest, dass die App aufgrund eines Fehlers in ihrem Cloud-Synchronisierungssystem automatisch die E-Mail-Adressen und persönlichen Daten anderer Personen ausfüllte. Im Jahr darauf wurden durch eine virtuelle Tastatur-App versehentlich die persönlichen Daten von 31 Millionen Nutzern veröffentlicht.

Auch wenn die vom Citizen Lab aufgedeckte Sicherheitslücke in Sogou schnell behoben wurde, scheint es angesichts all dieser Probleme unvermeidlich, dass bald eine weitere Sicherheitslücke in einer Tastatur-App aufgedeckt wird. Wie Knockel anmerkt, birgt die Verwendung von Sogou und ähnlichen Apps immer Sicherheitsrisiken, insbesondere in China. Denn: Alle chinesischen Apps sind gesetzlich verpflichtet, Daten herauszugeben, wenn sie von der Regierung angefordert werden. "Wenn Sie das beunruhigt", sagt er, "sollten Sie die Nutzung von Sogou noch einmal überdenken."

(jle)