Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Bild:Jörg VossDer große Lauschangriff auf Samsung und Vlingo Nutzer (durch Uncle Sam )
(Ein Schelm der arges dabei denkt … )
Nein, es schaut nicht nur so aus, es ist so. Die Nutzer der auf den Samsung Android-Smartphones vorinstallierten App S-Voice sowie Nutzer der Original Vlingo App sind ins Visier der US-Amerikanischen Geheimdienste gerückt. Die Hintergründe dazu könnt Ihr in diesem Beitrag lesen.
Der eine oder andere mag sich noch erinnern, im Januar 2012 entdeckte ich mehr zufällig, dass die Android Software Vlingo (auf fast allen Samsung Android-Smartphones vorinstalliert. Heutiger Name der App “S-Voice”) nach Hause telefoniert und dokumentierte dies in mehreren Blogs.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Die Berichte hatten damals in der Android Community einen ziemlichen Entrüstungssturm nach sich gezogen. Von der Firma Samsung hat es im Wesentlichen übrigens bis jetzt noch immer keine Stellungnahme zu diesem damals entdeckten App-Verhalten gegeben, im Gegensatz zur Firma Vlingo, die recht offensiv an uns herangetreten waren.
Vorgestern wurde ich dann durch einen Userbeitrag bei AndroidPIT (Danke @Foo Bar) nun auf einen Umstand aufmerksam, der diese ganze Sache noch toppt und eigentlich noch viel schlimmer macht, als bisher angenommen.
Es dürfte sich bei dem, was die speziell für Samsung angefertigte Version der Software (S-Voice) angeht, um einen Lauschangriff bisher ungeahnten Ausmaßes handeln. Wie ich zu dieser Aussage komme, möchte ich im Folgenden kurz schildern, denn wie sich nun herausgestellt hat, treffen die folgenden Aussagen auch für die Original Vlingo App zu, welche im Link ist nicht mehr aktiv. heruntergeladen werden kann. Es ändern sich dabei lediglich einige Kleinigkeiten, das Ergebnis bleibt jedoch das selbe.
(Es ändern sich URLs zu denen übertragen wird, jedoch führen diese zum selben Ziel)
Was macht die App S-Voice, bzw. Vlingo?
Einmal gestartet, verlangt S-Voice zunächst die Bestätigung einer Samsung-Eigenen Bestätigung, in welcher Samsung sich von allen datenschutzrechtlichen Belangen freispricht. Dann muss man noch die Privacy Policy von Vlingo bestätigen. Soweit so gut.
Nun allerdings geht es los, es werden, wie schon damals berichtet, alle möglichen Daten an Vlingo übermittelt. Dies geschieht nach wie vor unverschlüsselt und somit in fremden Netzen von nahezu jedermann mitlesbar. Übermittelt werden folgende Daten:
- AppID=com.samsung.android.midasumpc
- X-vllocation: Lat=48.129365;Long=16.82177
- X-vldisplaygeometry: Width=1280; Mag=4.3
- X-vlsoftware: Name=SamsungQ2; Version=10.0.11745; AppChannel=Preinstall Free
- X-vlsdk: Name=AndroidSDK; Version=2.0.215
- X-vlclient: DeviceMake=Samsung
- DeviceOSName=Android;
- DeviceModel=GT-N7100;
- DeviceOS=4.1.1;
- Language=de-DE;
- ConnectionType=DirectTCP; Carrier=T-Mobile Austria; CarrierCountry=AT;
- DeviceID=bf786e3cabfc4039b21928b8b67cc75b;
- AudioDevice=Android
Diese Daten werden an folgende URL übermittelt:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
(Wie man soetwas mitschneiden kann, habe ich
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
genauer beschrieben)Soviel zunächst zu dem, was übertragen wird, jedoch wird es ab jetzt bei dem wohin es übertragen wird sehr interessant. Schauen wir uns einmal genauer an wo die Reise unserer Daten hingeht. Dazu bemühen wir das Internet DNS-Tool nslookup (DNS=Domain Name Service) und fragen einmal nach, welche IP-Adresse sich hinter der URL verbirgt:
linux-fain:/home/anon # nslookup samsungq2asr.vlingo.com
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: samsungq2asr.vlingo.com
Address: 63.116.58.150
Address: 63.116.58.149
Address: 63.116.58.148
Address: 63.116.58.151
Address: 63.116.58.131
Hieraus wird zunächst nur ersichtlich, dass die URL samsungq2asr.vlingo.com insgesamt auf 5 verschiedene IP-Adressen auflöst wird.
Nun schauen wir mal, was dabei herauskommt, wenn wir einen sogenannten Reverse Lookup machen, also nur anhand der IP-Adresse schauen zu welchem Host die IP-Adresse aufgelöst wird.
linux-fain:/home/anon # nslookup 63.116.58.150
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Non-authoritative answer:
149.58.116.63.in-addr.arpa name = system149.dhs.gov.
Genauso sieht es für alle anderen IP-Adressen auch aus:
131.58.116.63.in-addr.arpa name = system131.dhs.gov.
148.58.116.63.in-addr.arpa name = system148.dhs.gov.
151.58.116.63.in-addr.arpa name = system151.dhs.gov.
150.58.116.63.in-addr.arpa name = system150.dhs.gov.
Was bedeutet das nun konkret? Wenn diese URL vom Smartphone aufgerufen wird, dann fragt das Smartphone im Grunde so wie ich es oben manuell gemacht habe, zunächst den eingetragenen DNS Server nach der IP Adresse der URL. Nur so kann es die Informationen übermitteln. Diese Auskunft ergibt dann eben eine der oben aufgeführten Adressen, bspw. 63.116.58.150. Jetzt werden die Informationen an diese Adresse übermittelt.
Und wer ist nun system150.dhs.gov?
Das ist die spannende Frage bei deren Antwort mir persönlich zunächst die Kinnlade herunterfiel.
Rufen wir doch im Browser mal
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
auf, die Basisdomain der Adresse system150.dhs.gov.Wir erhalten dann folgende Seite:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Bild:Jörg VossDas ist die offizielle Seite des „Department of Homeland Security“ einer der mächtigsten US-Amerikanischen Behörden seit 9/11.
Wikipedia beschreibt das Ganze:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Um die Recherche komplett zu machen hier die Kurzfassung:
Eine der zur Homeland Security gehörenden Einrichtungen ist das „Office of Intelligence and Analysis“ (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
welches wiederum Teil der sogenannten „Intelligence Community“ ist. (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
)Die United States Intelligence Community (IC) ist ein Zusammenschluss von 16 Nachrichtendiensten der Vereinigten Staaten. Vertreten sind hier klingende Namen wie bspw.:
- NSA (National Security Agency)
- DIA (Defense Intelligence Agency)
- CIA (Central Intelligence Agency)
- FBI (Federal Bureau of Investigation)
Was auf den Servern US-Amerikanischen Geheimdienst Equipe nun mit unseren Daten geschieht, oder was diese mit den Daten anstellen, möchte ich der Phantasie meiner geneigten Leser überlassen. Bevor nun der geneigte Leser beginnt, sich darüber Gedanken zu machen, zunächst noch ein paar Zahlen und Fakten.
Die Software wird wenigstens auf den Modellen Samsung Galaxy S3 sowie Samsung Galaxy Note und Note 2 fest vorinstalliert ausgeliefert.
Verkaufszahlen:
Galaxy S3: ~30 Millionen
Galaxy Note1: ~12 Millionen
Galaxy Note2: ~5 Millionen
Vlingo Play Store: ~7 Millionen
Das macht weltweit geschätzte 54 Millionen Smartphones, die mit einer Software ausgestattet sind , welche, nach der Aktivierung und bei Benutzung fröhlich die zeitliche Location, die verschlüsselte DeviceID und einiges mehr, an die versammelte Riege der US-Amerikanischen Geheimdienste übermittelt.
Immerhin kann somit bspw. die NSA oder die CIA tolle Bewegungsprofile von den Nutzern der APP S-Voice erstellen. Die Einwanderungsbehörde, welche ebenfalls vom „DHS“ gestellt wird kann so gezielt Einreisende unter die Lupe nehmen, die ihrer Meinung nach gewisse Dinge tun, sich an gewissen Orten aufhalten, aufgrund der ebenfalls übertragenen Spracheingaben könnten Sprachproben gespeichert werden, usw. usf .. Der Phantasie (und Realität) sind hier kaum Grenzen gesetzt.
Es sollte auch nicht unerwähnt bleiben, dass diese Umstände schon von anderen bemerkt und publiziert wurden. Scheinbar allerdings ohne entsprechendes Echo. Eine entsprechende Google Suche fördert einige Ergebnisse dazu zu Tage.
Technische Fakten
Die App S-Voice sowie die Original Vlingo App aus dem Play Store übermitteln „nur“ oben genannte Daten, diese aber mit jedem Request, den die App initiiert.
Es besteht durchaus die Möglichkeit, dass das „Department of Homeland Security“ nach entsprechende Publicity, den Reverse DNS-Entry löscht, so dass die Möglichkeit diese “Anomalität” zu entdecken nahezu unmöglich wird und man versucht, dies zu vertuschen.
Die Fragen die sich nun ergeben:
Ist Samsung über diese Sachlage informiert?
Wenn ja, warum liefert Samsung seine Kunden an die US-Amerikanischen Geheimdienste aus?
Wenn ja oder nein, was gedenkt Samsung dagegen zu unternehmen?
Diese Fragen habe ich bereits an Samsung Korea übermittelt und werde Euch hier jedenfalls über die zur Zeit noch ausstehende Antwort auf dem Laufenden halten.
Was bleibt, ist ein mehr als fader Nachgeschmack. Da werden Daten nichtsahnender Smartphone Nutzer ungefragt der Kontrolle und Speicherung der Daten durch eine ausländische Regierung ausgesetzt und man kann im Grunde nichts tun, außer die App zu deaktivieren. Diese ungefragte Datenschnüffelei ist in Europa durch klare Gesetze geregelt und soll den Bürger vor Staatlicher Allmacht schützen. Wie verhält es sich also in diesem Fall? Ist der Samsung Haftungsausschluss, der vor der Nutzung der Anwendung angeklickt werden muss, unter diesen Umständen juristisch in Ordnung? Oder anders gefragt, kann ein Hersteller sich wirklich so abputzen?
Dieser letzte Absatz war sozusagen meine ganz persönliche Meinung zu dem ganzen.
Abschalten der App S-Voice durch Deaktivierung
Zu guter Letzt möchte ich Euch natürlich nicht vorenthalten, wie Ihr Euch vor diesem Verhalten schützen könnt. Grundsätzlich ist es seit der Android Version IceCream Sandwich (4.0) möglich, Apps zu deaktivieren.
Um das zu erreichen müsst ihr lediglich folgendes tun:
Menü Einstellungen-Anwendungsmanager
Hier auf den „Tab“ – „ALLE“ () wechseln
Nun bis zur App „S-Voice“ wechseln und dort auf den Button „Deaktivieren“ klicken.
Die folgende Warnung: „Wenn integrierte Apps deaktiviert werden, können Fehler in anderen Apps auftreten“ könnt ihr getrost ignorieren.
Damit ist die App komplett deaktiviert und startet nicht erneut .
Hinweis: Die App befindet sich, sobald sie deaktiviert wurde, ganz am Ende der APP-Liste unter dem Reiter „Alle“.
Wie kann man das selber mal nachvollziehen?
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Bild:Jörg VossOben gezeigte Nameserverabfragen, mit welchen man die Namensauflösung von lesbaren Internetadressen hin zu IP-Adressen (dem Hausnummersystem des Internets) verfolgen kann, sind auf jedem PC vorhanden. Das dazu notwendige Programm nennt sich “nslookup.exe”. Um es zu benutzen, müsst Ihr lediglich eine sogenannte “Eingabeauff0rderung” öffnen. Hierzu geht Ihr auf den Startbutton von Windows 7 und gebt unten im Eingabefeld “cmd” (ohne die Anführungszeichen) ein und drückt die Taste [Enter]. Danach öffnet sich eine Eingabeaufforderung in welcher Ihr dann folgende Befehle wie im Bild gezeigt eingebt.
Natürlich bin ich sehr an Eurer Meinung zu dem Thema interessiert. Was meint Ihr dazu, wie ist Eure Meinung zu diesen Fakten?
Ein dickes Dankeschön an dieser Stelle auch noch an meinen Freund Andreas von
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
für seine unermüdliche Hilfe. Ebenso an Immo, Henrik, Lars und Peter für ihre Unterstützung.Last but not least:
Hey guys there at DHS – this is for you:
93d744235fe0e5d004ea2143a0d4cab4e7ef3270b17fb2f81c42fa3c08e167204b4209c8e6515153bd74461bc79ccaebb20705f7e516c88a1161a41daca88297
Update [23.12.2012]
Nachdem nun einige User Zweifel angemeldet haben an den von mir recherchierten Fakten, möchte ich auch
noch etwas dazu anmerken.
Schauen wir noch einmal auf die Fakten:
Die IP-Adressen 63.116.58.0 – 63.116.58.255 sind nach Auskunft von ARIN (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
)direkt der Firma Vlingo zugeordnet. Diese Adressen werden von dem Provider UUNET bereitgestellt, wie man ebenfalls
bei ARIN erfährt. UUNET ist im Wesentlichen die Fa. MCI Communications Services, Inc. d/b/a Verizon Business (MCICS).
Oben genannter IP-Adressblock führt zu einer eigenen AS (Autonomes System) mit der Nummer AS19576 die ebenfalls
auf Vlingo eingetragen ist. (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
)Vlingo hat also 256 IP-Adressen die allesamt bei einer Reverse Lookup Abfrage auf folgendes Muster auflösen:
systemxxx.dhs.gov, als konkretes Beispiel system149.dhs.gov.
Nicht unerwähnt bleiben sollte auch, dass Vlingo zu Beginn dieses Jahres von der Fa. Nuance aufgekauft wurde.
Nuance ist in nicht wenigen Bereichen unter anderem für das Militär der USA tätig.
Nun sollte man doch meinen, dass eine Firma wie Vlingo eigentlich ein Vitales Interesse daran haben sollte,
eben nicht mit derartigen Dingen assoziiert zu werden. Da dieser von mir recherchierte Sachverhalt durchaus schon
länger bekannt ist, muss man sich doch fragen warum dass nicht von Vlingo geändert wird?
Warum sollte irgendjemand 256 PTR-Records so umlegen, das sie ausgerechnet auf das Department of Homeland Security
zeigen? Vlingo hat hier also eigentlich einen Erklärungsnotstand. Wenn das also ein “Gag” irgendeines
Admins sein sollte, dann tut dieser damit Vlingo sicherlich keinen Gefallen. Persönlich zweifle ich
auch eher daran, dass sich irgendein Admin mit soetwas einen Spass erlaubt.
Auch Samsung, die ich bereits am 20. Dezember per Mail zu dieser Thematik befragt habe, hat sich bis heute
noch nicht dazu geäußert.
