Viele Smartphone-Hersteller installieren das sogenannte FOTA-Modul der chinesischen Software-Firma Adup auf ihren Geräten vor, um damit den Update-Prozess des Betriebssystems zu optimieren.
Doch über das Modul sammelt Adups auch unbemerkt Nutzerdaten von Android-Smartphones. Das entdeckte Ryan Johnson, Sicherheitsspezialist bei dem US-Sicherheitsdienstleister Kryptowire, bereits im Herbst letzten Jahres, als er sich ein Smartphone des US-Herstellers Blu gekauft hatte. Der damals aufgewirbelte Staub sorgte dafür, dass Adups seine Aktivität - vorgeblich - zurückfuhr.
Doch offenbar hatte man sich zu früh gefreut: Ryan Johnson berichtete vergangene Woche auf dem IT-Security-Kongress Black Hat in Las Vegas von der Dreistigkeit, mit der Adups noch immer Nutzerdaten abgreift. Er hatte exemplarisch zwei, bei Amazon erhältliche, Modelle betroffener Telefonmarken erneut überprüft, das Cubot X16S und das Blu Grand M. Das Ergebnis: auf beiden Geräten sammelte die Adups-Software immer noch fleißig Daten.
Angeblicher Fehler wurde nicht behoben
Bei der Untersuchung im Herbst 2016 hatte Ryan Johnson festgestellt, dass das Adup-Modul nicht nur eindeutige Merkmale wie IMEI oder IMSI, sondern auch Telefonateliste und sogar der komplette Inhalt von Text- und Messenger-Nachrichten erfasst. Zusätzlich kann die Software ohne Wissen der Betroffenen auch Apps installieren oder löschen und Befehle ausführen.
Nach Recherchen des Security-Unternehmens Trustlook waren damals insgesamt 43 chinesische Hersteller betroffen. Neben den beiden Genannten auch ZTE, Hisense und Lenovo. Einige Hersteller haben das Modul aber mittlerweile von ihren Geräten entfernt.
Ursprünglich wurde die Software für den Einsatz im chinesischen Raum entwickelt, der Einsatz in anderen Gebieten sei laut Adups nur ein Versehen: Eine Repräsentantin von Adups Technologies in den USA bezeichnete die Installation der Spionage-Software bereits im Herbst gegenüber der New York Times als Fehler. Die betroffenen Geräte seien lediglich für den chinesischen Markt bestimmt gewesen. Wie die Software auf Geräte für den internationalen Handel geraten ist, sei ihr unklar.
Das können Sie tun
Nach aktuellem Kenntnisstand kann bisher nur die App von Trustlook die Spionage-Software aufspüren. Die App verlangt extrem viele Rechte, was aber für Sicherheits-Software nicht ungewöhnlich ist. Über die Zuverlässigkeit und Vertrauenswürdigkeit dieser App können wir allerdings noch keine Aussage machen.
Sicherheitshalber sollten Sie die App nur einsetzen, wenn sie ein Gerät betroffener Hersteller verwenden oder den Verdacht haben, dass die Adups-Software bei Ihnen installiert ist. Nach dem Scan sollten Sie die App vorsichtshalber gleich wieder entfernen. (Aktualisierung 10.2023: App nicht mehr vorhanden)
Im Beitrag Was sind Identifier erklären wir, was es mit eindeutigen Merkmalen wie IMEI und IMSI auf sich hat und warum sie ein Datenschutzproblem sein können.