IT Security Newsletter: Smartphone-Tastaturen, Emotet-Zerschlagung, Virustotal, Passwort-Stärke

Aktuelle Berichte, Kommentare und Analysen aus der IT-Security

In dieser Ausgabe lesen Sie

  • Wie Smartphone-Tastaturen spionieren

  • Emotet-Zerschlagung

  • Vertrauliche Dateien und Virustotal

  • Kostenlose Cyber-Security-Trainings

  • Passwort-Stärke testen

Wie Smartphone-Tastaturen ihre Nutzer ausspionieren und Tippdaten sammeln

Die vor kurzem präsentierten neuen Nutzungsbedingungen für Facebook haben zu einer heftigen Diskussion um den Datenschutz von Messenger-Apps geführt. Aber wie sieht es bei den Smartphone-Tastaturen aus, die viele Nutzer auf ihreN Mobilgeräten installiert haben? Nach Aussage von David Eberle nicht gut. Er ist CEO des Schweizer Softwareherstellers Typewise, der selbst eine eigene Smartphone-Tastatur entwickelt hat.

Viele Tastatur-Apps für Android und iOS sammeln nach Aussage von Eberle weit mehr Daten als nötig ist. Typewise verfolgt dagegen einen Offline-Ansatz und nutzt dafür eine lokale KI, die ähnlich gute Ergebnisse bei der Erkennung von Tippfehlern erreichen soll wie die Konkurrenz – ohne dabei allerdings Kompromisse beim Datenschutz einzugehen.

Wir haben mit David Eberle über die Datenschutz-Situation bei Smartphone-Tastaturen gesprochen und ihn um konkrete Beispiele gebeten.

Verlosung

Unter allen Empfängern des IT Security Newsletters verlosen wir fünf Gutschein-Codes für die Android-Version von Typewise 2.6 im Wert von je 25 Euro. Mit diesem Code lässt sich die Vollversion der Android-App dauerhaft freischalten. Stichtag ist der 15.02.2021. Anschließend werden die Gewinner per E-Mail benachrichtigt. Eine Teilnahme ist freiwillig. Der Rechtsweg ist ausgeschlossen.

Interview mit David Eberle, CEO von Typewise

IT Security Newsletter: Herr Eberle, Sie sagen, dass viele Tastatur-Apps persönliche Daten der Nutzer sammeln. Was hat es damit auf sich?

David Eberle: Hunderte Millionen von Smartphone-Nutzern verwenden Tastatur-Apps von Drittanbietern, um ein besseres Tipperlebnis zu erhalten und um das Aussehen und die Haptik anzupassen. Das gilt insbesondere auf Android-Geräten, aber teilweise auch auf Produkten von Apple. Beliebte Apps sind zum Beispiel Gboard oder SwiftKey, aber auch Go Keyboard oder Kika Keyboard. Zusammen verzeichnen diese Apps über eine Milliarde Installationen.

IT Security Newsletter: Und das ist ein Problem?

Eberle: Ja, da die meisten Software-Tastaturen von Drittanbietern eine lange Liste von Berechtigungen auf dem Smartphone des Benutzers erfordern. Ohne diese funktionieren sie nicht. Einerseits benötigen sie diese Berechtigungen für das Trainieren ihrer KI-Algorithmen (Künstliche Intelligenz), andererseits um Funktionen wie Sticker oder GIFs bereitzustellen. Dadurch können sie alles aufzeichnen und übertragen, was der Benutzer einschließlich seiner E-Mails und Social-Media-Nachrichten tippt bis hin zu seiner GPS-Position und seinem Browserverlauf.

IT Security Newsletter: Können Sie konkrete Beispiele nennen?

Eberle: Obwohl die meisten Tastaturanbieter behaupten, dass sie Wert auf das Thema Datenschutz legen, zeigen zahlreiche Skandale, dass das Datenschutzrisiko real ist. Sie betreffen Millionen von Nutzern.

Im Jahr 2017 entdeckte Adguard, ein Anbieter von Werbeblockern, dass Go Keyboard mit 200 Millionen Nutzern (hergestellt von GOMO, einem chinesischen IT-Unternehmen) Informationen sammelte und Banner austauschte. Im selben Jahr sickerten bei Ai.type, das von einem israelischen IT-Unternehmen hergestellt wird, persönliche Daten von 31 Millionen Nutzern durch. Im Juni 2019 wurde Ai.type aus den App-Stores entfernt, nachdem Forscher herausgefunden hatten, dass die App unautorisierte Käufe tätigte und ihre Nutzer um mindestens 18 Millionen Dollar betrog. Möglicherweise sogar um viel mehr.

In ähnlicher Weise wurden auch das chinesische Kika Keyboard mit über 250 Millionen Nutzern und TouchPal mit über 150 Millionen Nutzern Ende 2018 beziehungsweise Mitte 2019 entfernt, nachdem bösartige Werbepraktiken entdeckt worden waren. Im Januar 2020 berichtete dann der norwegische Verbraucherrat, dass Wave Keyboard mit über 10 Millionen Nutzern Nutzerdaten mit Werbenetzwerken von Drittanbietern teilte, obwohl der Anbieter seinen Nutzern mitteilte, dass genau dies nicht geschehen würde. Im Februar 2020 wurden dann die meisten mobilen Apps von Cheetah mit insgesamt über 100 Millionen Nutzern aufgrund illegaler Datensammlungspraktiken aus dem Google Play Store entfernt.

IT Security Newsletter: Was steckt dahinter?

Eberle: Es muss nicht einmal böswillige Absicht sein. Im Jahr 2016 hat Swiftkey mit über 500 Millionen Nutzern (jetzt im Besitz von Microsoft) Nutzerdaten vertauscht und private Inhalte wie E-Mail-Adressen dem falschen Nutzer angezeigt. Auch Google ist in eine Datenschutzklage verwickelt. Allerdings nicht direkt wegen Gboard. Der Vorgang unterstreicht aber, wie sich vermeintlich datenschutzfreundliche Software in das Gegenteil verwandeln kann.

IT Security Newsletter: Wie sieht es mit den Originaltastaturen aus, die in iOS und Android zu finden sind? Sammeln die auch Daten über ihre Nutzer?

Eberle: Apple sammelt nach eigener Aussage keine Daten. Dadurch entstehen unter iOS mit Abstand die meisten Tippfehler. Auch ein Ändern der Sprache muss manuell durch den Nutzer erledigt werden. Außerdem sind keine Emojis integriert. Bei Android gibt es gar keine „Originaltastatur“. Stattdessen wird vom jeweiligen Hersteller des Geräts eine Tastatur installiert. Oft ist es Gboard oder SwiftKey. Beide sammeln Daten. Dies kann allerdings abgeschaltet werden.

IT Security Newsletter: Wie kann man es besser machen?

Eberle: Notwendig ist eine intelligente Tastatur, die „Private-by-Design“ ist und bei der alle Nutzer- und Tippdaten auf dem Gerät verbleiben, ohne über das Internet übertragen zu werden. Dies erfordert ausgeklügelte KI-Algorithmen. Sie müssen leistungsfähig genug sein, um das individuelle Tippverhalten des Benutzers zu erlernen und somit Tippfehler gut erkennen und korrigieren zu können. Gleichzeitig muss alles offline erfolgen. Ein solches Privacy-by-Design-System ist technologisch sehr anspruchsvoll, da es nicht direkt von der Crowd Intelligence profitieren kann.

Wir entwickeln eine solche Tastatur. Unsere Typewise-App überträgt keine Tippdaten. Das Keyboard selbst läuft in einer Sandbox. Der Nutzer kann zusätzlich einen Offline-Modus aktivieren, wenn er die App komplett abkapseln will. Die dafür benötigte KI entwickeln wir gemeinsam mit dem Data Analytics Lab der ETH Zürich. Typewise 3.0, das im März dieses Jahres erscheinen wird, verfügt über eine deutlich verbesserte Autokorrektur, die wir kürzlich als Patent eingereicht haben.

Statement zur angeblichen Emotet-Zerschlagung

Wie das BKA und Europol melden, soll die Infrastruktur von Emotet zerschlagen worden sein. Der Sicherheitsanbieter Proofpoint hat dazu ein treffendes Statement veröffentlicht.

Vertrauliche Dateien und Virustotal

Virustotal ist ein nützlicher Online-Dienst, mit dem sich verdächtige Dateien mit Dutzenden Virenscannern auf Malware-Befall testen lassen. Aber nehmen wir an, dass Ihnen ein Geschäftspartner eine Office-Datei mit wichtigen Details zu einem geplanten Projekt zugeschickt hat. Bevor Sie dieses Dokument auf Ihrem Arbeitsrechner öffnen, sollten Sie es erst noch auf einen möglichen Befall testen …

Kostenlose Cyber-Security-Trainings von Fortinet

Während vom Hasso-Plattner-Institut angebotene kostenlose Cyber-Security-Kurse sich eher an Privatanwender richten, zielt das Gratisangebot des Firewall-Spezialisten Fortinet auf professionelle Anwender.

Security-Tipp: Passwortstärke testen

Hand aufs Herz, wie schnell lässt sich Ihr Passwort knacken? Die meisten der im vergangenen Jahr beliebtesten Passwörter lassen sich nach Angaben des Sicherheitsanbieters Nordpass in weniger als einer Sekunde entschlüsseln. Aber wie sieht es mit Ihrem Passwort aus?