Die auf Apple und Android-Geräten verfügbare Chat-App ToTok hat wohl Millionen Benutzer über ihre Mobilgeräte ausgespäht. Die App, die wohl von Entwicklern aus den Vereinigten Arabischen Emirate (BAE) stammt, hat alles abgefischt, was sie kriegen konnte. Apple und Google haben die App aus dem Store geworfen.
Anzeige
Die New York Times berichtet in einem Artikel (leider hinter einer Paywall) über diesen Vorfall, wie folgender Tweet vermeldet.
New: A massively popular app that has been downloaded millions of times is actually an Emirati spy tool @MarkMazzettiNYT and I confirmed. https://t.co/AO3rkENYmh
— Nicole Perlroth (@nicoleperlroth) December 22, 2019
Auf dieser Webseite hat ein Sicherheitsforscher das Thema aufbereitet. Dieser wurde kürzlich von der New York Times (NYT) angesprochen, um bei der Untersuchung einer populären iOS-Anwendung, ToTok, zu helfen. Mir war diese App unbekannt (bin ja auch ein Noob). Aber Millionen Menschen haben die ChatApp für Android und iOS heruntergeladen.
(TokTok-App im Apple Store, Quelle objective-see.com)
Anzeige
Was der Sicherheitsforscher aber herausfand, als er die Kommunikation dekodierte, war schockierend. Anscheinend hatten amerikanische Regierungsmitarbeite, die mit vertraulichen Geheimdienstinformationen vertraut sind, die App ToTok als Spionage-Tool klassifiziert. Zitat:
Es wird von der Regierung (den Geheimdiensten) der Vereinigten Arabischen Emirate verwendet, um jedes Gespräch, jede Bewegung, jede Beziehung, jeden Termin, jeden Ton und jedes Bild derjenigen zu verfolgen, die es auf ihren Telefonen installieren.
ToTok (von "Breej Holding Ltd.") ist eine sehr populäre Anwendung in den Vereinigten Arabischen Emiraten (UEA, VAE). In der Tat war es kürzlich die Nr. 1 der "Trending"-App in Dubai. Man muss dazu wissen, dass die App in den VAE sehr populär ist, weil Apples Facetime – aber auch Microsofts Skype – dort blockiert ist. Internettelefonie geht also nur über andere Apps, und da bot sich ToTok an. Die Bewertungen der Benutzer in den App-Stores waren sehr positiv – und die App war kostenlos. Aber man sollte im Hinterkopf behalten, dass Überwachung in den VAE zum Tagesgeschäft gehört.
Der Sicherheitsforscher hat dann die App auf einem Entwickler-Gerät (iPhone) von Apple installiert und die entschlüsselte Kommunikation mitgeschnitten. Die ToTok fordert bei der Installation unter iOS so gut wie alle Berechtigungen an: Mikrofon, Kalender, Standort, Fotos, Kontakte, Siri Integration, und Kamera. Der Sicherheitsforscher vermutet, dass die App eine Kopie der chinesischen App YeeCall ist. Diese wurde für englisch- und arabischsprachige Nutzer modifiziert.
Apple und Google haben die App aus ihren Stores entfernt, nachdem die New York Times diese darauf angesprochen hat. Aber in andern App-Stores ist die App noch zu finden. Ein paar Informationen lassen sich zusätzlich bei SPON nachlesen.
Anzeige
[Zwinker]
Nein, wirklich jetzt: eine "Chat-App", die ihre Nutzer ausspioniert – also nein, wirklich?!?
[/Zwinker]
Traurig nur, daß APPLE und GOOGLE diese App einfach ohne Nachforschen einfach übernommen haben – "ein Schelm, der Böses dabei denkt" ;-)
Spionieren ist hier ein zu hartes Wort. VAE sind die Guten, daher ist das maximal als
Informationsausgleich zu werten.