Malwarebytes-Warnung: Spionage und Stalking über Google Play Store

Malwarebytes-Sicherheitsexperte Pieter Arntz entdeckte per Zufall potenziell bedrohliche Überwachungsmöglichkeit

[datensicherheit.de, 08.09.2021] Malwarebytes berichtet in einer aktuellen Stellungnahme, dass „wer bereits eine gesunde Skepsis hegt, dass der Datenschutz bei der Smartphone-Nutzung zu wünschen übrig lässt“, durch den zufälligen Fund des Malwarebytes-Sicherheitsexperten Pieter Arntz bestätigt werde.

Laut Malwarebytes wurde Arntz über Aufenthaltsorte seiner Frau auf dem Laufenden gehalten

Arntz musste demnach nämlich feststellen, dass er den Aufenthaltsort seiner Frau ausspionieren konnte – ohne Spionage-Tool, völlig kostenlos. Übeltäter sei hierbei das Google-Account gewesen. Er habe auf dem „Android“-Smartphone seiner Frau eine App installiert und sich zu diesem Zweck auf dem Gerät in seinem Google-Account eingeloggt:
„In der Folge hielt ihn sein eigenes ,Android‘-Smartphone über die Aufenthaltsorte seiner Frau auf dem Laufenden. Einziger Hinweis für seine Frau auf die ungewollte Überwachung war das Profilbild seines angemeldeten Kontos, wenn sie die ,Google Play‘-App verwendete.“ Selbst nach dem Ausloggen aus „Google Play“ am Smartphone seiner Frau habe er weiterhin regelmäßig Updates über ihren Standort erhalten.
Nach weiterem Nachforschen habe er herausgefunden, dass sein „Google Account“ jedes Mal zu den Smartphone-Accounts seiner Frau hinzugefügt werde, wenn er sich im „Google Play Store“ einloggt, „aber nicht entfernt wird, wenn er sich wieder ausloggt“.

Malwarebytes Gründungsmitglied der Koalition gegen Stalkerware

Malwarebytes ist nach eigenen Angaben eines der Gründungsmitglieder der Koalition gegen Stalkerware (CAS) – mit dem Ziel, Menschen vor Spionage zu schützen.
Malware-Scanner seien jedoch darauf beschränkt, Anwendungen zu finden, welche „den Benutzer ausspionieren und die Informationen an andere Stellen weiterleiten“. Dies treffe in diesem Fall nicht zu, denn es handele sich hierbei nicht um eine Form von Stalkerware, und es werde auch nicht versucht, die Zustimmung des Benutzers zu umgehen. „Vielmehr ist es ein Fehler im Design.“
Eva Galperin, Direktorin für Cyber-Sicherheit der Electronic Frontier Foundation und auch Gründungsmitglied der CAS, findet, dass dieser Fehler zeige, warum es für Technologieentwickler so wichtig sein müsse, Situationen häuslicher Gewalt bei der Produktentwicklung zu berücksichtigen. Der Begriff „Tech-enabled abuse“ habe sich zu der Problematik bereits etabliert.

Malwarebytes empfiehlt Löschung fremden Google-Kontos vom Smartphone

„Die Sicherheitslücke macht deutlich, wie wichtig Qualitätssicherung und Benutzertests sind, die auch Situationen häuslichen Missbrauchs berücksichtigen und die Weitergabe von Standortdaten ernst nehmen“, betont Galperin und führt weiter aus: „Eine der gefährlichsten Situationen bei häuslicher Gewalt ist die Zeit, in der das Opfer versucht, ihr digitales Leben von dem des Täters zu trennen. Das ist eine Zeit, in der die Daten des Opfers besonders anfällig für diese Art von Fehlkonfigurationen sind, und die möglichen Folgen sind sehr ernst.“
Google habe das Problem bisher nicht als Fehler deklariert. „Darum besteht aktuell die einzige Möglichkeit, sich zu schützen, in der Überprüfung, welche Konten auf einem Smartphone hinzugefügt wurden.“ Bisher sei nicht eindeutig, ob es auch andere Apps gebe, „die mit dem Google-Konto und nicht mit dem Smartphone verknüpft sind“. Auch diese Apps könnten andere Personen als der Besitzer dazu nutzen, Informationen abzufragen.
Unter „Einstellungen > Konten und Backups > Konten verwalten“ werde das Google-Konto aufgelistet. Nach dem Klick auf das zu entfernende Konto werde die entsprechende Option angezeigt. „Nachdem Arntz sein Google-Konto vom Smartphone seiner Frau entfernte, wurden auch die Standortdaten nicht mehr geteilt.“

Weitere Informationen zum Thema:

datensicherheit.de, 29.07.2021
Манифест.docx – Malwarebytes warnt vor neuer Cyber-Doppel-Attacke

Malwarebytes LABS, Pieter Arntz, 01.09.2021
Google Play sign-ins can be abused to track another person’s movements