Spionage-App: Spyfone offenbart großes Datenleck

Auch wenn sie je nach Gesetzeslage oftmals am Rande der Legalität operieren, erweisen sich Spionage-Apps als lukratives Betätigungsfeld. Auch wenn deren Entwickler nicht selten deren Einsatzmöglichkeiten verharmlosen, wird das ganze dann zu einem Problem, wenn die gesammelten Daten nicht gut genug geschützt werden.

Gesammelte Daten von über 3.600 Smartphones einsehbar

Mit diesem Problem sieht sich aktuell der Entwickler von Spionage-Software für Smartphones Spyfone konfrontiert. So fand ein nicht namentlich genannter Sicherheitsforscher innerhalb eines nur unzureichend geschützten S3-Cloud-Speichers von Amazon eine Datenbank, welche mehrere Terabytes an Informationen enthält. In dieser sollen neben Kontaktlisten und Standortdaten auch abgegriffene Audioaufnahmen, Fotos sowie Textnachrichten unverschlüsselt gespeichert worden sein. Darüber hinaus konnte der Sicherheitsexperte 2.208 Nutzer ausmachen, welche wiederum jeweils tausende von Bildern und Audioaufnahmen gespeichert hatten. Diese sollen wiederum von insgesamt 3.666 überwachten Smartphones stammen. Die kopierten Daten beinhalten zudem 44.109 verschiedene E-Mail-Adressen.

Cloud kaum gesichert

Laut dem Finder soll der komplette Zugang über das Backend öffentlich zugänglich und nicht durch ein Passwort geschützt gewesen sein. Dadurch war es ihm möglich, einen Zugang mit Administratorrechten anzulegen und Zugriff auf die Daten zu erhalten. Daraus ergibt sich der Umstand, dass jeder, welcher die URL zum Aufrufen der Seite kennt, sich zumindest bis dato freien Zugriff auf die gespeicherten Informationen hätte verschaffen können – und wäre damit in der Lage gewesen, die Nutzer der aufgeführten Geräte selbst zu überwachen.

Es ist davon auszugehen, dass diese Daten widerrechtlich von den jeweiligen Geräten gesammelt wurden und innerhalb der Datenbank nur den Nutzern zugänglich sein sollten, welche den Dienst von Spyfone in Anspruch genommen haben.

EFF findet deutliche Worte

Gegenüber dem IT-Portal „Motherboard‟ gab Eva Galperin, Chefin für Cybersicherheit der sich für die Grundrechte im Informationszeitalter einsetzenden Nichtregierungsorganisation Electronic Frontier Foundation (EFF), an, das „Spyfone eine magische Kombination aus Zwielichtigkeit, Verantwortungslosigkeit und Inkompetenz zu sein scheint‟.

Zum Glück nur ein Forscher

Steve McBroom, Sprecher bei Spyfone, gab gegenüber dem Portal an, dass man die Sicherheitslücke gefunden und bereinigt hätte. Darüber hinaus betonte er, dass er erleichtert ist, dass der Finder der Schwachstelle ein Forscher war und somit gute Absichten bei seinem Vorgehen hatte. Laut McBroom sollen rund 2.200 Kundenkontos von dem Problem betroffen gewesen sein, darüber hinaus will Spyfone zusammen mit Sicherheitsunternehmen und Rechtsvertretern das Vorgehen untersuchen und sicherstellen, dass sich solch ein Fehler nicht wiederholt.