Wie eine chinesische Überwachungs-App funktioniert, die Einreisende beim Grenzübertritt aus Kirgistan nach China auf ihrem Handy installieren lassen müssen, haben IT-Sicherheitsforscher der Ruhr-Universität Bochum (RUB) gemeinsam mit dem Rechercheverbund aus NDR und Süddeutscher Zeitung (SZ) analysiert. Auch die New York Times und der britische Guardian veröffentlichten die Ergebnisse der Recherche. Die Wissenschaftler fanden heraus, dass die App das Handy nach etwa 73.000 bestimmten Dateien durchforstet. Außerdem erstellt sie für den Grenzbeamten einen Bericht, der unter anderem die letzten Telefonaktivitäten, Kontakte, SMS-Nachrichten und genutzten Social-Media-Accounts enthält. Ihre Ergebnisse veröffentlichten die Wissenschaftler online unter https://dwuid.com/content/analyzing-mobilehunter. Die Medien berichteten am 2. Juli 2019 über die Rechercheergebnisse.
Ein Leser der SZ hatte die Zeitung auf das Verfahren aufmerksam gemacht, bei dem Einreisende ihr entsperrtes Handy an einen Grenzbeamten zur Installation der App übergeben müssen. Daraufhin nahmen die Medienhäuser die Recherche auf und zogen die Expertise von Prof. Dr. Thorsten Holz hinzu. Der Leiter des Lehrstuhls für Systemsicherheit der RUB, einer der Sprecher des Exzellenzclusters CASA – kurz für Cyber-Sicherheit im Zeitalter großskaliger Angreifer –, ist Experte für die Analyse von Softwareapplikationen.
Gemeinsam mit seinem Doktoranden Moritz Contag untersuchte er sowohl die eigentliche App als auch speziell zwei Unterprogramme der App, die nur als Maschinencode aus Nullen und Einsen vorlagen. Dieser Code kann direkt vom Prozessor ausgeführt werden, ist aber für Menschen nicht verständlich.
Bericht über Social-Media-Accounts und Telefonaktivitäten
Die analysierte Android-App erstellt einen Bericht, der Informationen enthält wie die im Telefon gespeicherten Kontakte, gesendete SMS-Nachrichten und eine Liste der letzten Anrufaktivitäten inklusive der Funkstelle, mit der das Handy verbunden war. Mithilfe des ersten Unterprogramms werden Informationen darüber gesammelt, welche chinesischen Social-Media-Apps auf dem Handy installiert sind und welche Accounts damit verbunden sind.
Das zweite Unterprogramm durchforstet das Handy nach bestimmten Dateien. Dazu enthält sie eine Liste von 73.315 sogenannten Prüfsummen. Diese werden üblicherweise genutzt, um die Integrität von Dateien sicherzustellen; sie sind eine Art digitaler Fingerabdruck. Lädt man zum Beispiel eine Datei aus dem Internet herunter, wird häufig auch eine dazu passende Prüfsumme angegeben. Nach erfolgtem Download kann der Computer oder das mobile Endgerät die Prüfsumme der heruntergeladenen Datei berechnen und sie mit der erwarteten Prüfsumme vergleichen. Wird die Datei beim Download beschädigt, so stimmen die berechnete und die erwartete Prüfsumme nicht überein. Sind die beiden Werte gleich, ist sichergestellt, dass die Datei unverändert ist.
Auf der Suche nach bestimmten Videos
Jede Datei, also jedes Video, jede Text- oder Audiodatei, hat in der Prüfsumme somit ihren eigenen digitalen Fingerabdruck. Die App berechnet die Prüfsummen für alle auf dem Handy verfügbaren Dateien und gleicht sie mit einer hinterlegten Liste ab. „Aus den Prüfsummen kann man allerdings nicht direkt auf den Inhalt der Datei schließen“, erklärt Thorsten Holz. In dem Unterprogramm der App fanden die Bochumer Forscher neben den Prüfsummen für jede Datei noch eine zweite Information, nämlich die Dateigröße.
Anhand dieser Parameter hat das Team der RUB mehr als 1.300 Dateien identifizieren und dem Rechercheteam von NDR, WDR und SZ zur Verfügung stellen können. Zusammen mit anderen Quellen konnten insgesamt mehr als 2.000 Dateien rekonstruiert werden, die das Rechercheteam dann gemeinsam mit Kollegen des Guardian und der New York Times im Detail untersuchte. Darunter waren Videos und Audiodateien mit islamistischer Propaganda, aber beispielsweise auch ein Dokument zum Dalai Lama oder ein Rocksong einer japanischen Band.
„Bei der App handelt es sich um ein Überwachungsinstrument, mit dem man das Handy an der Grenze sehr schnell und effizient nach bestimmten Informationen durchsuchen kann“, folgert Thorsten Holz.
Für Presseanfragen richten Sie sich bitte an das Presse-Team des Horst-Görtz-Instituts für IT-Sicherheit unter hgi-presse@rub.de.
Links zu den Veröffentlichungen in den Medien:
Originalveröffentlichung der Pressemitteilung im RUB Newsportal
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.