Russisches SDK mit verschleierter Herkunft in US-Regierungs-Apps
Die Macher des Entwicklungswerkzeugs Pushwoosh gaben eine US-amerikanische Herkunft vor. Stattdessen kommt das SDK aus Russland. Und es gibt noch mehr Dubioses.
Die Website von Pushwoosh.
(Bild: heise online)
Ein russisches Softwareentwicklungswerkzeug (SDK), das unter der falschen Angabe, aus den USA zu stammen, vertrieben wird, findet offenbar in Tausenden Apps für iOS und Android Verwendung. Darunter waren laut einem Medienbericht auch Apps der US-Armee und US-Gesundheitsbehörde CDC. Bei den Recherchen traten neben der verschleierten Herkunft noch weitere Ungereimtheiten zutage. US-Behörden ermitteln in dem Fall.
Bei Pushwoosh handelt es sich laut der Website der Entwicklerfirma um ein Werkzeug, mit dem in Apps mittels Pushbenachrichtigungen, Mitteilungen in der App, E-Mails, SMS und WhatsApp Nutzer dazu angeregt werden sollen, Funktionen zu entdecken, Feedback einzusammeln oder generell zur Benutzung der App zu motivieren. Angaben dazu, wo das Unternehmen, das sich Pushwoosh Inc. nennt, seinen Sitz hat, gibt es auf der Website nicht. Im Twitter-Account der Firma wird die US-Hauptstadt Washington D.C. in den Profilinformationen genannt.
Offenbar kein Datenmissbrauch, aber viele Fragen
Die Nachrichtenagentur Reuters hat jedoch herausgefunden, dass das Unternehmen mit 40 Beschäftigten und 2,4 Millionen US-Dollar Jahresumsatz in Wirklichkeit seinen Sitz in Novosibirsk in Russland hat. Laut den Recherchen gibt es zwar keinen Hinweis auf einen Missbrauch von Daten, die die App für ihre Zwecke einsammelt. Gleichwohl sind russische Unternehmen dazu verpflichtet, den Geheimdiensten des Landes auf Anfrage Zugang zu Daten zu gewähren. Nach Unternehmensangaben liegen Datensätze von inzwischen 2,3 Milliarden Geräten vor.
Dass die US-Armee die Software in einer App verwendete, die in Trainingsstützpunkten verwendet wurde, und die Gesundheitsbehörde CDC in sieben Apps auf das SDK setzte, geschah offenbar in Unkenntnis der wahren Herkunft. Mittlerweile sei das SDK aus den Apps entfernt worden. Dennoch ist die Software weiterhin weitverbreitet: Pushwoosh wirbt damit, in vielen weiteren Apps bekannter Marken vertreten zu sein, darunter Coca Cola, McDonald's, Spar, Adidas, Sport1 und Unilever. Nach Reuters-Informationen ist das SDK in 8000 Apps enthalten.
Briefkasten in Washington
Pushwoosh-Gründer Max Konev erklärte gegenüber Reuters, dass die Daten in den USA und Deutschland gespeichert würden. Die Recherchen von Reuters haben ergeben, dass es sich bei der Adresse seines Unternehmens um den Briefkasten eines Freundes von Konev handelt, der Briefpost weiterleitet. Aus Handelsregister-Einträgen gehe die wahre Herkunft ebenfalls nicht hervor oder es würden nicht existierende Adressen genannt.
Ebenfalls fragwürdig sind LinkedIn-Accounts zweier angeblicher Verantwortlicher der Firma in den USA, die gar nicht existierten. Die Fotos einer angeblichen Mitarbeiterin zeigten zum Beispiel in Wirklichkeit eine österreichische Tanzlehrerin, die in Moskau fotografiert wurde. Fragwürdig sind auch Angaben zu einem angeblichen neuen Unternehmenssitz in Thailand. Konev erklärte die Fake-Profile bei LinkedIn mit einer Social-Media-Kampagne einer Agentur.
(mki)