Analyse: Chinesische Staats-App hat hohes Überwachungspotenzial mit Root-Zugang

Die App "Studiere die Nation" hat mit einer voreingestellten Hintertür das Zeug zum perfekten Spionagewerkzeug. Das fand die IT-Sicherheitsfirma Cure53 heraus.

In Pocket speichern vorlesen Druckansicht 158 Kommentare lesen
China - Internet

(Bild: dpa, Alex Ehlers/Illustration)

Lesezeit: 5 Min.
Von

Die Kommunistische Partei Chinas (KP) hat sich seit Februar mit der von ihr herausgegebenen App "Studiere und stärke die Nation" (Xuexi Qiangguo) auf den Smartphones von bislang über 100 Millionen Bürgern eingenistet. Die Universal-Anwendung, mit der sich etwa mit Freunden chatten oder spielerisch mit dem eigenen Wissen über die Geschichte des Landes oder die Ansichten des Staatschefs Xi Jinping Punkte erwerben lassen, ist für Parteimitglieder und Mitarbeiter der öffentlichen Verwaltung Pflicht. Sie hat zugleich aber das Potenzial, dass die KP ihrerseits die Nutzer intensiv studieren und ausforschen kann.

Dies legt zumindest eine jetzt veröffentlichte Analyse der Berliner IT-Sicherheitsfirma Cure53 nahe, für die sich das Team mit Experten des US-amerikanischen Open Technology Fund (OTF) zusammengetan hat. Die Hacker haben die auch als "Study the Great Nation" bekannte App in der Android-Version per Reverse Engineering auseinandergenommen und die Ergebnisse ihrer Untersuchung in einem 18-seitigen Bericht zusammengefasst.

Die Anwendung enthält demnach versteckten Code, der einer Backdoor nebst vollständigem Root-Zugang gleichkommt. Ein damit ausgestatteter Administrator kann theoretisch auf dem gesamten Mobilsystem alle erdenklichen Befehle ausführen, also etwa beliebige Software herunterladen und installieren oder vorhandene Dateien verändern. So könnten beispielsweise Keylogger zum Mitschneiden eingegebener Texte eingeschleust werden. Die entsprechenden verdächtigen Datenpakete liegen alle in Bereichen mit Verweisen auf "aliyun und alibaba". Der chinesische Tech-Riese Alibaba hat die App für die KP programmiert.

Einen Nachweis dafür, dass diese massive Hintertür aktiv ausgenutzt wird, kann Cure53 angesichts der Voraussetzungen für die Analyse nicht erbringen. Laut dem OTF, der von der US-Regierung unterstützt wird, ist aber schon die Tatsache, dass diese große Sicherheitslücke besteht, überaus besorgniserregend. Der Code-Audit habe keinen "legitimen Grund" ergeben, warum eine solche App Kommandos mit den höchsten Privilegien auf dem Mobiltelefon ausführen können sollte.

Die IT-Sicherheitsexperten haben ferner herausgefunden, dass die Propaganda-Anwendung aktiv nach anderen Apps auf dem Gerät des Nutzers sucht und dabei eine Liste von 960 Programmen abarbeitet. Darauf verzeichnet sind andere Chat-Dienste wie WhatsApp, Kakao Talk, Facebook Messenger oder Skype, Navigations-Apps wie Baidu Maps oder Uber, Amazon Kindle, Reise- und Buchungsservices etwa von Airbnb oder Tripadvisor genauso wie Bezahl-Apps oder Spiele. Auch hier sei unklar, wieso ein solches Verhalten für den offiziellen Zweck der Studienanwendung erforderlich sei, was die OTF-Beobachter über eine mögliche "massenhafte Datensammlung" durch die KP spekulieren lässt.

Auffällig ist laut Cure53 zudem, dass Alibaba "unsichere kryptografische Algorithmen wie DES" einsetzt und damit offenbar "aktiv daran beteiligt ist, die Sicherheit von Xuexi Qiangguo zu schwächen". Eine derartig schwache Verschlüsselung könne mit einer gängigen Brute-Force-Attacke "in unter einer Woche" geknackt werden, was Dritten potenziell einen einfachen Zugang zu vermeintlich geschützten, teils sehr sensiblen persönlichen Informationen gebe. So könnten etwa auch biometrische Daten und private Nachrichten sowie Bewegungsangaben in einem zentralen System gesammelt und mit Big-Data-Instrumenten analysiert werden.

Die App erhebt dem Bericht nach auch allgemeine Geräteinformationen wie die einzigartige IMEI-Kennung sowie Verbindungs- und Standortdaten. Diese werden an die Domain xuexi.cn übermittelt, die von Alibaba verwaltet wird. Logdateien würden dabei täglich erstellt. Die Anwendung sende zudem Daten unter anderem an Server, die höchstwahrscheinlich der chinesische Internetkonzern Tencent kontrolliere.

Die "Bildungs-App" mit dem "Superuser-Bug" hat sich binnen weniger Monate zu einer der am weitesten verbreiteten Mobil-Anwendungen im Reich der Mitte gemausert und kommt auf mehr aktive Nutzer als die beliebten Dienste WeChat oder TikTok. Allein der Huawei Store weist dafür über 300 Millionen Downloads auf. Für viele Bürger gehört es aufgrund des Drucks der KP nicht nur zum guten Ton, die App mit ihren diversen Funktionen zumindest auszuprobieren. Chinesische Journalisten müssen seit Anfang Oktober in der App einen Test über das Leben des Präsidenten Xi meistern, um einen Presseausweis zu erhalten.

Peking erklärte, dass die Anwendung nicht auf die von Cure53 nahegelegte Art funktioniere. Die chinesische Regierung beteuerte gegenüber der Washington Post, dass in dem Programm "keine Sache" enthalten sei, die eine weitgehende Ausspähung weiter Teile der Bevölkerung erlaube.

Die IT-Sicherheitsexperten von Cure53 hatten zuvor bereits die Integrated Joint Operations Platform (IJOP) geknackt. Sicherheitsbehörden setzen diese Android-App in der chinesischen autonomen Region Xinjiang ein, um die dort ansässige Minderheit der mehrheitlich muslimischen Uiguren auszuspähen. (siko)