Stalkerware: Salomonisches Urteil über Tracking-Apps

Es ist gar nicht so leicht herauszufinden, ob es sich bei solchen Apps um fiese Stalkerware handelt, die Sie auf Schritt und Tritt verfolgt, oder um einen harmlosen Tracker, wie eine Kinder-Schutz-App für das Handy Ihres Nachwuchses. Wie hätte König Salomo die wahre Natur solcher Apps erkannt, wenn er ein Handy gehabt hätte? Und welche der beiden Apps hätte er auf dem Smartphone der Königin von Saba installiert?

Die technologische Frage unserer modernen Zeit lautet: Hilft eine Tracking-App wirklich Eltern dabei, den Schulweg ihrer Kinder zu überwachen, oder wird sie dazu missbraucht, den Lebensgefährten bei jedem Schritt zu kontrollieren und zu belauschen? Die Funktionen von Stalker-Apps und Kinder-Schutz-Apps sind zu einem großen Teil identisch. Beide Apps können die betroffene Person abhören, tracken und ihren Zugriff auf das Smartphone einschränken. Unter Umständen bekommen Sie sogar beide Apps bei ein und demselben Anbieter. Wo ziehen Sicherheitsunternehmen die Grenze zwischen unbedenklichen Trackern und gefährlicher Stalkerware, um Malware zuverlässig zu erkennen und die Privatsphäre der User zu schützen?

König Salomo vor der Smartphone-Ära

Vielleicht fragen Sie sich, wie König Salomo zwischen harmlosen und gefährlichen Apps unterschieden hätte. Laut Bibel gilt er schließlich als weisester Mann der Welt. Interessant wäre auch, ob er mit den heutigen technischen Möglichkeiten die Königin von Saba getrackt hätte. Vermutlich hätte Salomo mit seiner biblischen Weisheit ein Schwert gezogen und gedroht, das Smartphone in zwei Hälften zu teilen. So soll er es der Erzählung nach mit einem Baby getan haben, um die richtige von der falschen Mutter zu unterscheiden.

Laut Bibelerzählung erkannte Salomo die wahre Mutter daran, dass diese den König bat, das Kind am Leben zu lassen und der anderen Frau zu geben. Stalkerware und Kinder-Schutz-Apps können Sie mit einem ähnlichen Trick voneinander unterscheiden: Obwohl sich die beiden Apps technisch stark ähneln, lässt sich ihre wahre Natur anhand bestimmter Faktoren erkennen. Der größte Unterschied besteht darin, wie die Apps verwendet werden und welche Absichten die Person verfolgt, die sie installiert. Wie bei vielen Fragen in der IT (und übrigens auch der Kindererziehung) gibt es hier allerdings keine Pauschallösung. Vielmehr muss jeder Fall individuell entschieden werden.

Weisheit im Überwachungszeitalter

Tracking-Apps wie Spyware, Stalkerware und Kinder-Schutz-Apps haben ähnliche Funktionen und fallen unter dieselbe Gattung Software. Spyware gilt in der Regel als schädliche App, die von Cyber-Kriminellen und im Gesetzesvollzug übergriffig eingesetzt werden kann. Das bekannteste Beispiel für Spyware ist Pegasus. Dieses Schadprogramm wurde von der israelischen NSO Group entwickelt und soll eine Vielzahl an Menschen ausspioniert haben, angefangen bei mexikanischen Journalisten bis hin zu Aktivisten aus Saudi-Arabien. Spyware wie Pegasus kann sich über unglaublich viele verschiedene Wege auf Ihr Telefon schleichen und Sie heimlich ausspionieren. Damit sich die App selbst auf Ihrem Smartphone installiert, kann es schon ausreichen, dass Sie einen eingehenden Anruf annehmen.

Stalkerware gilt in der Regel als perfekte App für alle, die nahestehende Menschen heimlich bei allem beobachten möchten, was sie im Internet so tun. Stalkerware-Apps haben mehr Spionage- und Kontrollfunktionen als Kinder-Schutz-Apps! Zu diesen Funktionen gehören unter anderem das Aufzeichnen von Telefongesprächen, Abgreifen von Daten, Sicherstellen von Persistenz und Aufklärung, Überwachen von Aktivitäten, Abhören von Gesprächen, Ermöglichen unbefugten Zugriffs, Verwenden von Keyloggern sowie Zugriff auf den Standortverlauf, Spionage über Mikrofon/Kamera, Zugang zu Social-Media-Konten und Speicherung von Social-Media-Inhalten.

Kinder-Schutz-Software ist eine harmlosere Version solcher Apps, die Eltern laut Anbieter die Möglichkeit geben soll, dafür zu sorgen, dass ihr kleiner Timmy gut nach Hause kommt und seine Hausaufgaben macht. Typische Kinder-Schutz-Apps bieten Eltern im Wesentlichen folgende Funktionen: Lesen der Nachrichten ihres Kindes, Übermittlung seines Standortes durch Tracking via GPS und Zugriff auf den Browser- und Suchverlauf. Einige dieser Kinder-Schutz-Apps für Eltern haben noch einschneidendere Überwachungsfunktionen. Sie erfassen Informationen aus Social-Media-Konten, greifen auf private Inhalte wie Fotos und Videos auf dem Smartphone zu, geben unbefugten Personen Fernzugriffsrechte, ermöglichen das An- und Ausschalten des Geräts aus der Ferne und setzen Keylogger ein.

Entscheidend ist das Einverständnis der Nutzer

Bei diesen zwei verschiedenen Apps gibt es also durchaus Überschneidungen. Viele dieser Tracking-Apps sind sogenannte Dual-Use-Apps. Das bedeutet, dass sie sich für verschiedene Zwecke verwenden lassen – auch für illegale. Das Tracken von mutmaßlichen Terroristen ist eine rechtmäßige Verwendung solcher Apps. Das Beschatten von Journalisten zu politischen Zwecken ist jedoch etwas ganz anderes. Die Erfahrung hat uns gezeigt, dass einige dieser Apps tatsächlich komplett legal genutzt werden, andere aber auch als Spionage-Instrument dienen.

Ja, das ist verwirrend. Es gibt jedoch einen einfachen Weg, die Absichten solcher Apps zu entlarven. Das Stichwort heißt hier Einverständnis. Denn anders als legitime Apps gelangt Stalkerware fast immer ohne das Wissen und Einverständnis des Nutzers auf sein Smartphone. Dazu führen Sie einen sogenannten doppelten A/B- und gegebenenfalls C-Test durch:

1. Die Tracker-App befindet sich auf meinem Gerät.

A: Ja, ich bin mir dessen bewusst und akzeptiere dies – In Ordnung (es handelt sich um ein Firmenhandy).
B: Ich weiß nichts davon. – Nicht in Ordnung, das ist illegal.

2. Ich habe die App auf einem fremden Gerät installiert.

A: Diese Person ist sich dessen bewusst und akzeptiert dies – In Ordnung (Kinder-Schutz-App).
B: Diese Person weiß nichts davon, ich habe jedoch eine rechtliche Erlaubnis für das Installieren der App (fragwürdig).
C: Diese Person weiß nichts davon. – Nicht in Ordnung, das ist illegal.

Für die Unterscheidung zwischen harmlos oder illegal ist entscheidend, ob die betroffene Person von der App auf ihrem Handy weiß. Unbedenkliche Apps zeigen dem User ihre Überwachungsaktivitäten offen an, während illegale Apps diese in der Regel verstecken. Wird eine App heimlich installiert oder versteckt, handelt es sich mit hoher Wahrscheinlichkeit um Stalkerware mit rechtlich und moralisch fragwürdigen Absichten. Das ist die Regel, für die es auch Ausnahmen geben kann, wenn zum Beispiel eine Tracking-App Beweise für ein Verbrechen sammeln soll.

Die rechtliche Grundlage für Tracking-Apps ist kompliziert

Für Max Mustermann ist Pegasus von NSO eindeutig zu kompliziert in der Anwendung und auch zu teuer. Es gibt jedoch noch eine Reihe anderer, unterschiedlich legaler Tracking-Apps. Tracking-Apps, von denen der Besitzer des Geräts weiß – wie der Firmencomputer, auf dem ich diesen Artikel schreibe –, sind in der Regel in Ordnung. Vorausgesetzt, dass die Nutzung abgesprochen ist, sie zur Unternehmenstätigkeit passt und nur wenige private Informationen erfasst werden. Eine Person und ihre Online-Aktivitäten zu tracken ist in Ordnung, wenn dies gesetzlich erlaubt ist.

Nichtsdestotrotz könnte sich unser Max Mustermann theoretisch jederzeit eine Tracking-Software besorgen und damit illegal in die Privatsphäre fremder Menschen eindringen. Und auch Kinder-Schutz-Apps mit versteckten Kontrollfunktionen schneiden tief in die Privatsphäre unserer Kinder ein.

Sie erkennen den Unterschied am (fehlenden) App-Symbol

Am einfachsten erkennen Sie rechtmäßige Tracking-Apps am App-Symbol auf dem Bildschirm Ihres Geräts. Die meisten, jedoch nicht alle Kinder-Schutz-Apps haben ein gut sichtbares Symbol, das die Funktion der App zutreffend beschreibt. Schadsoftware, die Ihre Privatsphäre verletzt, hat in der Regel ein nicht sichtbares oder ein irreführendes Symbol, um über ihre wahre Absicht hinwegzutäuschen.

Wie weit kann Tracking gehen?

Eine seriöse Kinder-Schutz-App setzt normalerweise Grenzen, welche Apps auf dem Gerät installiert werden dürfen. Sie schränken auch die Kontrolle der Bildschirmzeit und die Einsicht in den Browserverlauf ein. Wichtig: Es gibt einen Unterschied zwischen kontrollieren und überwachen! Unseriöse Tracking-Apps überschreiten diese Grenze, wenn sie Überwachungsfunktionen aktivieren oder den Zugriff auf private Daten wie Gespräche erlauben. Ebenfalls problematisch ist ein nicht sichtbares Installations- oder App-Symbol. Absolut kritisch ist es, wenn die App ohne das Wissen des Besitzers auf dessen Handy installiert wird.

Obwohl Kinder tatsächlich einige Regeln für die Nutzung von Apps brauchen, möchten wir darauf hinweisen, dass in vielen Sicherheits- und Anti-Diebstahl-Apps schon Geo-Tracking-Funktionen mit Fernzugriff integriert sind.

Sicherheitsprobleme bei Kinder-Schutz- und Stalkerware-Apps

Tracking- und Kontroll-Apps sind aus Sicherheitssicht nicht ganz ungefährlich, da es bei vielen zwei Probleme gibt. Erstens öffnen sie eine Hintertür zum Gerät, die Hackern im schlimmsten Fall verschiedene Zugriffsrechte und andere Berechtigungen verschafft. Dazu gehören das Umgehen von Authentifizierungen, Ausführen von schädlichem Code und Fernbefehlen, Datendiebstahl, Ändern von Dateien und Ausspionieren des Netzwerkverkehrs. Zweitens können die vom Gerät entnommenen Daten an einen unsicheren Ort gelangen und von dort weitergegeben werden. Family Orbit, ein Anbieter von Kinder-Schutz-Apps, hat Dateien in ungesicherten Cloud-Speichern gespeichert. Die Folge war, dass persönliche Daten wie E-Mail-Adressen, Geräte-IDs und -Namen, Zugangsdaten sowie Medienspeicherdateien geleakt wurden.

Wie läuft die Erkennung von Stalkerware bei Sicherheitsfirmen?

Sicherheitsunternehmen, die ursprünglich auf das Erkennen von Malware, direkten Bedrohungen für Geräte und die Privatsphäre der Nutzer spezialisiert waren, müssen sich heute verstärkt mit den Risiken auseinandersetzen, die durch das Nutzen von Tracking-Apps entstehen. Immer mehr Tracking-Apps, die in die Privatsphäre der Nutzer eingreifen, werden auch als Malware klassifiziert. Andere Apps wie Employee Work Spy und Mobile Tracking wurden bereits aus den offiziellen App Stores genommen. Kommerzielle Spyware wird inzwischen häufig als Stalkerware erkannt und als PUA (Potenziell Unerwünschte Anwendung) mit dem Erkennungsnamen PUA/Stalk klassifiziert.

Dieses PUA-Ranking liefert uns das salomonische Urteil: Es gibt seriöse Tracking-Apps (Kinder-Schutz) mit legalen Funktionen. Der Endnutzer hat dabei jedoch ein Recht zu wissen, welche Apps auf seinem Handy installiert sind und was diese Apps tun. Und für diese Erkenntnis mussten wir noch nicht einmal damit drohen, ein Smartphone in zwei Hälften zu teilen.

Analyse von PUA/Stalk.FlexiSpy

FlexiSpy gehört zu den bekannteren Stalkerware-Apps. FlexiSpy positioniert sich als Kindersicherungstool mit speziellen App-Funktionen, wie Standort-Tracking und Überwachung der App-Nutzung. Daneben verfügt das Tool jedoch über eine Menge anderer Funktionen, die dem Geräte-Administrator vollen Zugriff auf das kontrollierte Gerät geben kann. Als Spionagefunktionen gelten das Aufzeichnen von Telefongesprächen, Aufnehmen von Fotos und Videos über die Kamera des Geräts, Abgreifen von persönlichen Informationen aus Chat-Anwendungen, wie Skype, Viber, WhatsApp, Keylogging, Auslesen von Passwörtern, Fernzugriff über SMS-Befehle usw.

Zudem versucht FlexiSpy, seine Präsenz und Aktivität auf dem entsprechenden Gerät zu verschleiern. Dazu blendet es das App-Symbol aus, löscht sich aus allen App-Listen und tarnt sich mit einem falschen Namen.

Unten haben wir ein paar der Spionage- und Kontrollfunktionen dieser Stalkerware aufgelistet, die wir bisher noch nicht genannt haben. Avira erkennt diese App als PUA/Stalk.FlexiSpy.

App-Symbol ausblenden oder aktivieren/deaktivieren



Die Bilder oben zeigen FlexiSpy, installiert als Android Sync und Sync Services. Deutlich zu sehen ist, dass die App versucht, sich als Tool für das Android-Betriebssystem auszugeben.

App-Symbol ausblenden
Funktion, um App-Symbol zu aktivieren/deaktivieren

SuperSU und Rooting-Spuren ausblenden

Das Rooting eines Android-Telefons gibt Zugriff auf weitere Funktionen und Steuerungsmöglichkeiten frei, kann jedoch das SuperSU-Symbol zurücklassen. Dies könnte den Smartphone-Nutzer darauf aufmerksam machen, dass er ausspioniert wird. FlexiSpy ermöglicht dem Geräte-Administrator, das Symbol auszublenden.

FlexiSpy-Funktion, um SuperSU und alle Spuren des Rooting eines Android-Telefons auszublenden

Verschiedene Funktionen per Fernzugriff steuern

Im Folgenden finden Sie eine Liste der Funktionen, die mit dieser App per Fernzugriff an- und ausgeschaltet werden können. Im Screenshot sind die vielen Kontroll- und Spionagefunktionen zu sehen, die von einfachen Tonaufnahmen bis zum Abgreifen von persönlichen Informationen auf dem Telefon reichen.

Umfangreiche Liste der Funktionen, die sich per Fernzugriff an- und ausschalten lassen

Telefon durch SMS-Fernbefehle steuern

Ein Funktionsset lässt sich über die Fernsteuerung des Telefons via SMS-Befehle nutzen. Diese Funktionen ermöglichen es auch, diese Anfrage- und Antwortbefehle vor dem Telefonnutzer zu verbergen.

SMS-Anfrage mit Befehl unterdrücken
Antwort auf SMS-Befehl unterdrücken
Alle Pakete, die Empfänger für android.provider.telephone.SMS_RECEIVED haben, als HashSet sammeln. Eigenen Namen „com.android.msecurity“ aus diesem Set löschen
Alle Pakete aus dem Set neu starten.

 

Dieser Artikel ist auch verfügbar in: Englisch

Avira ist mit rund 100 Millionen Kunden und 500 Mitarbeitern ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Das Unternehmen gehört mit mehr als 25-jähriger Erfahrung zu den Pionieren in diesem Bereich.