Islamiq

Zwei Sicherheitsforscher haben in mehreren Gebets-Apps für Muslime Codes gefunden, mit dem unter anderem die Telefonnummer, die E-Mail-Adresse und der genaue Standort der Nutzern ohne deren Einverständnis gesammelt werden konnte. Auch der Inhalt der Zwischenablage, in der oft Passwörter abgelegt werden, konnte ausgelesen werden.

Der Code war Teil eines Software Development Kits (SDK), das Entwickler von Apps gegen Bezahlung in ihre Produkte einbauen. Üblicherweise sammeln solche SDKs Daten für Werbezwecke, doch in diesem Fall war das anderes. Entwickelt wurde das SDK von der in Panama registrierten Firma Measurement Systems.

Google sperrt Apps

Laut dem „Wall Street Journal“ handle es sich dabei allerdings um eine Scheinfirma eines US-amerikanischen Unternehmens namens Vostrom, das als Auftragnehmer von zahlreichen US-Geheimdiensten und dem US-Verteidigungsunternehmen fungiere. Für die Art der gesammelten Daten dürften demnach US-Sicherheitsbehörden vielfältige Verwendungszwecke haben.

Measurement Systems legte dabei ein ungewöhnliches Verhalten an den Tag. Es wolle von den App-Entwicklern vor allem Daten von Nutzern aus dem Nahen und Mittleren Osten, Osteuropa sowie Asien. Normalerweise seien jedoch Nutzer aus Westeuropa und Nordamerika aufgrund der höheren Kaufkraft viel gefragter, wenn es um das Sammeln von Daten zu Werbezwecken gehe.

Das SDK wurde in dutzende Apps eingebaut. Mit zehn Millionen Nutzern ganz an der Spitze stand allerdings Al-Moazin Lite, das Muslime an ihre Gebetszeiten erinnert. Eine weitere App mit fünf Millionen Nutzer zeigte die Richtung nach Mekka an. Google hat die betroffenen Apps am 25. März aus dem Play Store entfernt.