Spielt Shazam NSA?

Auf Apple-Geräten lässt die Musikidentifikationssoftware das Mikrofon ständig laufen

Patrick Wardle, ein ehemaliger NSA-Hacker, der jetzt Sicherheitssoftware für Apple-User entwickelt, hat herausgefunden, dass sich mit der verbreiteten Musikidentifikationssoftware Shazam das Mikrofon auf Geräten mit dem Apple-Betriebssystem iOS nicht mehr ausschalten lässt. Auch dann, wenn das Programm meldet, es wäre ausgeschaltet, ist es noch an.

Nachdem sich die Nachricht verbreitete, kündigte der Hersteller gestern gegenüber Telepolis an, das Problem "in den nächsten Tagen" mit einer neuen Version der App beheben zu wollen. "Entgegen jüngster Gerüchte", so so der stellvertretende Pressesprecher James Pearson, nutze Shazam den Zugang zum Mikrofon nicht für Aufnahmen, sondern "ausschließlich zu dem Zweck, einen kleinen Fingerabdruck eines Teils der Klangwellen zu bekommen". Dieser Fingerabdruck werde "exklusiv dafür genutzt, Treffer in der Shazam-Songdatenbank zu finden und danach gelöscht". Obwohl man deshalb kein Risiko für die Privatsphäre der Nutzer erkenne, respektiere man deren Bedenken und nehme sie ernst.

Feature oder Bug?

Vorher hatten Shazam verlautbart, der Dauerlauf des Mikrofons sei Absicht, damit das Programm schneller auf Anfragen des Nutzers reagiert. Andernfalls könne es öfter vorkommen, dass die entscheidende Stelle verpasst und ein Musikstück nicht erkannt werde. Nutzer würden insofern nicht getäuscht, als nach dem Ausschalten Audiodaten zwar registriert, aber nicht mehr verarbeitet würden.

Wardle war auf das Problem gestoßen, nachdem ihm ein Nutzer seines Tools OverSight (das über Mikrofon und Kamera wacht) darüber informierte, dass die Monitoringsoftware ein entsprechendes Verhalten von Shazam meldet. Der Programmierer wollte herausfinden, ob sein Tool vielleicht falschen Alarm schlug und nahm die App darauf hin mittels Reverse Engineering auseinander.

Gefahr durch "Huckepack"-Malware

Beim Untersuchen des Codes stellte er fest, dass Shazam tatsächlich verhindert, dass das Mikrofon ausgeschaltet wird. Hinweise darauf, dass die Audiodaten gespeichert, verarbeitet oder verschickt werden, fand er jedoch nicht. Trotzdem ist ihm dieses Verhalten nicht geheuer - auch deshalb, weil es von Malware-Programmen im Huckepack-Verfahren ausgenutzt werden könnte, ohne dass Sicherheitsprogramme Alarm schlagen. "Wenn ich etwas ausschalte", so Wardle zum Portal Motherboard, "dann sollte es auch ausgeschaltet sein".

In Deutschland verzeichnet Shazam monatlich etwa 100 Millionen Zugriffe und 36 Millionen Downloads. Inzwischen erkennt die App nicht nur Musik, sondern auch Plakate und andere physische Objekte, wenn sie mit einem QR-Code oder einem entsprechenden Icon ausgestattet sind.

2014 hatte c’t herausgefunden, dass Shazam Ortsdaten an Werbenetzwerke übertrug, ohne die Nutzer darüber zu informieren. Shazam-Chef Rich Riley sprach damals von einem "Einzelfall, der von einem unserer Partner verursacht wurde". Auf einem Vortrag auf dem Mobile World Congress in Barcelona verlautbarte er, man habe "eine Riesen-Menge an Daten" und freue sich auf deren Einsatz. Nutzer "bekämen so interessantere Anzeigen, etwa zu Künstlern, deren Musik sie über Shazam identifiziert hätten".