Pieter Arntz musste nämlich feststellen, dass er den Aufenthaltsort seiner Frau ausspionieren konnte – ohne Spionagetool, völlig kostenlos. Übeltäter war hier der Google Account.
Er hatte auf dem Android-Smartphone seiner Frau eine App installiert und sich zu diesem Zweck auf dem Gerät in seinen Google Account eingeloggt. In der Folge hielt ihn sein eigenes Android-Smartphone über die Aufenthaltsorte seiner Frau auf dem Laufenden. Einziger Hinweis für seine Frau auf die ungewollte Überwachung war das Profilbild seines angemeldeten Kontos, wenn sie die Google Play-App verwendete. Selbst nach dem Ausloggen aus Google Play am Smartphone seiner Frau erhielt er weiterhin regelmäßig Updates über ihren Standort.
Nach weiterem Nachforschen fand er heraus, dass sein Google Account jedes Mal zu den Smartphone Accounts seiner Frau hinzugefügt wird, wenn er sich im Google Play Store einloggt, aber nicht entfernt wird, wenn er sich wieder ausloggt.
Fehler im Design
Malwarebytes ist eines der Gründungsmitglieder der Koalition gegen Stalkerware (CAS) mit dem Ziel, Menschen vor Spionage zu schützen. Malwarescanner sind jedoch darauf beschränkt, Anwendungen zu finden, die den Benutzer ausspionieren und die Informationen an andere Stellen weiterleiten. Das trifft in diesem Fall nicht zu, denn es handelt sich hier nicht um eine Form von Stalkerware, und es wird auch nicht versucht, die Zustimmung des Benutzers zu umgehen. Vielmehr ist es ein Fehler im Design.
Technisch unterstützter Missbrauch?
Eva Galperin, Direktorin für Cybersicherheit der Electronic Frontier Foundation und auch Gründungsmitglied der CAS, findet, dass dieser Fehler zeigt, warum es für Technologieentwickler so wichtig sein muss, Situationen häuslicher Gewalt bei der Produktentwicklung zu berücksichtigen. Der Begriff „Tech-enabled abuse“ hat sich zu der Problematik bereits etabliert.
„Die Sicherheitslücke macht deutlich, wie wichtig Qualitätssicherung und Benutzertests sind, die auch Situationen häuslichen Missbrauchs berücksichtigen und die Weitergabe von Standortdaten ernst nehmen“, so Galperin. „Eine der gefährlichsten Situationen bei häuslicher Gewalt ist die Zeit, in der das Opfer versucht, ihr digitales Leben von dem des Täters zu trennen. Das ist eine Zeit, in der die Daten des Opfers besonders anfällig für diese Art von Fehlkonfigurationen sind, und die möglichen Folgen sind sehr ernst.“
Wie man die Aufenthaltsortung deaktiviert
Google hat das Problem bisher nicht als Fehler deklariert. Darum besteht aktuell die einzige Möglichkeit, sich zu schützen, in der Überprüfung, welche Konten auf einem Smartphone hinzugefügt wurden. Bisher ist nicht eindeutig, ob es auch andere Apps gibt, die mit dem Google Konto und nicht mit dem Smartphone verknüpft sind. Auch diese Apps könnten andere Personen als der Besitzer dazu nutzen, Informationen abzufragen.
Unter Einstellungen > Konten und Backups > Konten verwalten wird das Google Konto aufgelistet. Nach dem Klick auf das zu entfernende Konto wird die entsprechende Option angezeigt. Nachdem Arntz sein Google Konto vom Smartphone seiner Frau entfernte, wurden auch die Standortdaten nicht mehr geteilt.
blog.malwarebytes.com