Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK

Motoblur: Motorola sammelt angeblich heimlich Nutzerdaten

Verfasst von: Gelöschter Account — 02.07.2013

Motorola sammelt im großen Stil sensible Nutzerdaten. Das will IT-Spezialist Ben Lincoln aufgedeckt haben, als er sein Motorola Droid X2 zu Testzwecken in seiner Firma verwendet hat. Vor dem Hintergrund der aktuellen Überwachungsdiskussionen über PRISM und Co. ist diese Entdeckung besonders brisant und wirft kein gutes Licht auf die Google-Tochter.

sicherheit schloss
© Gerd Altmann / pixelio.de

Ben Lincoln hat Mitte Juni 2013 einige Tests mit dem Microsoft-Protokoll Exchange ActiveSync durchgeführt, welches für die Synchronisation von E-Mails, Kontakten, Kalender, Notizen und mehr benutzt wird. Für diese Tests musste Lincoln den Datenverkehr (Traffic) seines Smartphones überwachen und dabei hat er herausgefunden, dass das Motorola Droid X2 verschiedene Daten an den Server ws-cloud112-blur.svcmot.com sendet, einer zu Motorola gehörenden Domain.

Während seiner Untersuchungen hat er herausgefunden, dass folgende Daten ungefragt im Hintergrund an die Motorola-Server übermittelt werden:

  • IMEI und IMSI des Geräts (Nummern zur eindeutigen Identifizierung des Smartphones)
  • Telefonnummer und Infos über den Netzbetreiber
  • Barcode des Batteriefachs (ist im System gespeichert)
  • Installierte und vorinstallierte Apps
  • Statistiken über die Nutzung von Apps
  • Statistiken über Anrufe und Textnachrichten
  • Bluetooth-Pairing mit anderen Geräten
  • E-Mail-Adressen und Benutzernamen für auf dem Gerät hinterlegte Accounts
  • Statistiken über Kontakte
  • Ereignisprotokolle
  • Debugging-Informationen
  • Statistiken zur Signalstärke und Datennutzung
  • Speicherabbilddateien von abgestürzten Apps
  • Bei Exchange ActiveSync: Server-Name und E-Mail-Adresse und Details über die Sicherheitsmaßnahmen des EAS-Server
motorola droid x2
Stein des Anstoßes: Das Motorola Droid X2. / © Motorola

Die Übermittlung der Daten erfolgt dabei teilweise über eine unverschlüsselte HTTP-Verbindung, sodass sie auch von Angreifern mitgelesen werden könnten. Es ist erschreckend, wie viele Daten ungefragt und vor allem auch heimlich gesammelt werden. Als erste Konsequenz hat Ben Lincoln alle ActiveSync- sowie E-Mail-Konfigurationen vom Gerät entfernt und er will sich auch erkundigen, wie er sein Droid X2 rooten und ein “sauberes” Custom-ROM installieren kann, das keine Daten sammelt.

Da Lincoln den Datenverkehr bisher nur auf dem Motorola Droid X2 überwacht hat, ist unklar, ob auch andere Motorola-Smartphones ähnliche Daten sammeln. Für mich zeigen die jüngst gemachten Aufdeckungen einmal mehr, wie leichtsinnig Unternehmen mit unseren Daten umgehen und wie groß die Sammelwut eigentlich geworden ist. In sozialen Netzwerken wie Facebook gehört das Sammeln von Daten leider schon fast zum "guten Ton", aber auch viele andere Apps fangen mehr Daten ab, als eigentlich notwendig. Wenn jedoch ein seriös wirkender Hersteller von Smartphones ungefragt einen ganzen Sack voller Nutzerdaten an die eigenen Firmenserver senden lässt, ist höchste Vorsicht geboten.

Wie seht Ihr das, ist es für Euch schon selbstverständlich geworden, dass überall Daten gesammelt werden oder erschüttert es Euch jedes Mal aufs Neue, wenn neue Abhörberichte die Runde machen?

Via: Izzy Quelle: Beneath The Waves

Begeisterter Android-User seit Dezember 2009 und dem Motorola Milestone. Außerdem allgemein technikinteressiert und immer auf der Suche nach den neuesten Gadgets, die ihm das Leben entweder leichter oder schwerer machen. Nico ist zudem bekannt dafür, zu viel Kaffee zu trinken und zu wenig zu schlafen. In seiner raren Freizeit genießt er einen guten Film und lange Spaziergänge am Strand. Der letzte Teil war gelogen.

43 Kommentare

Neuen Kommentar schreiben:
  • Da habe ich wohl wieder einen Smiley vergessen. Habe ich auch so verstanden :)

  • My1 04.07.2013 Link zum Kommentar

    ok kein problem, ich sagte ja, "du kannst", nicht "du musst"...

  • @Philipp Darauf kann ich nur mit dem Mediamarkt-Slogan antworten: "Ich bin doch nicht blöd!"

    Ernsthaft: Dafür fehlt mir einfach die Zeit. Ich warte zunächst einmal ab, was viaForensics findet. Würde mich wundern, wenn man dort der Sache nicht nachgeht (obwohl es mich schon wundert, dass außer AndroidPIT und AreaMobile.DE kein deutsches Blog über die Sache zu berichten scheint).

  • My1 04.07.2013 Link zum Kommentar

    du kannst ja mal deinen Stein2, worauf du dich jz beziehst, keine Ahnung aber Egal, untersuchen wenn du mal zwischenzeitlich die Stock draufknallst...

  • Es gibt ein Update auf Ben's Seite: Sein Droid X2 ist nicht länger allein. Ein Photon 4G gesellt sich offensichtlich dazu, wie ihm jemand per Mail mitteilte. Ben schreibt allerdings explizit, dass er das nicht gegengeprüft hat (sicher mangels des Gerätes).

    Zu Recht vermutet er nun, dass auch das nicht die letzte Meldung war. Nach seinen Beobachtungen liegt das Problem nämlich nicht im Geräte-Code, sondern in Blur. Und das ist nun einmal die Standard-Oberfläche für Androiden aus dem Hause Motorola. Auch mein Stein² hatte das von Haus aus drauf (was jedoch recht bald durch CyanogenMod ersetzt wurde).

  • @Andreas Aber hart am Rande der Legalität. SRT dekompiliert die .apk Dateien, modifiziert sie, und setzt sie neu zusammen (sofern sich daran nichts geändert hat). Damit vergreift sie sich in vielen Fällen an den Rechten des jeweiligen Entwicklers. Was übrigens auch der Grund ist, warum man die App nicht mehr im Playstore findet. Aber nochmals die Bitte: Das ist ein anderes Thema, welches besser an anderer Stelle diskutiert werden sollte. Habe dafür mal einen Fred eröffnet: http://www.androidpit.de/de/android/forum/thread/561352/OT-vom-Lauschangriff-Blog-App-Rechte-beschraenken <- Bitte da weiter zu diesem Thema :)

  • @Marc kazubek: Mit srt AppGuard (http://www.backes-srt.com/ , http://www.chip.de/downloads/SRT-AppGuard-Android-App_56552141.html) ist es Teilweise möglich Apps ohne Root zu überwachen. Mit Rechte entziehen...

  • 30

    @Simon: Was Du schreibst, finde ich bedenklich. Nur weil es viele geahnt haben und gewarnt haben, kann man das doch nicht als Sommerloch abtun. Und nein, früher war bei weitem nicht das möglich, was heute möglich ist. Wir schreiben Geschäftkorrespondenz per unverschlüsselter E-Mail, was früher niemand auf eine Postkarte geschrieben hätte.

    Früher wäre es gar nicht möglich gewesen, zu protokollieren, wer mit wem im Briefverkehr steht oder telefoniert. Heute ist das nur eine Frage von Rechen-Kapazität und dazu haben wir alle bereits mehr im Smartphone, als die erste Mondrakete hatte.

    Wir Endanwender müssen endlich aufwachen und sagen, was wir wollen und nicht das kaufen, was uns vorgesetzt wird. Das gilt auch für die Politiker, die uns vertreten sollen.

    Ich nehme mich dabei übrigens nicht aus. Auch ich muss mein Handeln überdenken.

  • Wird auch nie gehen, da jede Rechte-Verwaltung selbst natürlich System-Rechte benötigt. Sofern sie daher vom "ROM-Koch" (Google/Hersteller/Provider/Custom) als System-App vorinstalliert ist, hat sie diese Rechte natürlich. -- Aber das hat weniger mit diesem Blog-Artikel zu tun, lasst uns das bei Bedarf daher lieber im Forum diskutieren.

  • My1 03.07.2013 Link zum Kommentar

    @Marc, kannste knicken geht (noch) nicht

  • hammer artikel nu meine frage :
    ich suche nu eine app mit der ich die rechte verwalten kann ,es muss aber eine sein die OHNE root usw. geht

  • Und was man schon allein aus den Verbindungsdaten machen kann, darauf verweist Slashdot (http://yro.slashdot.org/story/13/07/02/1929218/what-does-six-months-of-meta-data-look-like) mit einem Hinweis auf Die Zeit (http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten) Wer nicht erst dreißig mal klicken will, hier der direkte Link zum interessanten Teil: http://www.zeit.de/digital/datenschutz/2011-02/vorratsdaten-malte-spitz

  • Ehrlich: Für mich ist diese ganze Prism etc. Debatte reines Sommerloch - geahnt hat man es schon immer, vieles auch inoffziell gewusst. Früher war es auch nicht besser - ein Schelm der Böses dachte weil die CIA im alten IG Farben Haus residierte, direkt über dem alten Telefon-Übergabeknoten an das internationale Netz.

    Sobald man heute eine Telekommunikationstechnik oder Informationstechnik nutzt kann man davon ausgehen das zumindest die Verbindungsdaten mehrfach geloggt werden. Und auch Verschlüsselung wird die grossen Geheimdienstorganisationen nicht abhalten.

    Soll ich mir um all das nun täglich Gedanken machen? Nö, macht nur Falten...

  • @Clemens C.
    Ein Netzwerkspezialist muss noch lange kein Spezialist sein, der sich mit dem Rooten eines Smartphones auskennt.

  • logo, für mich ist es schon normal geworden, die sammeln daten die sie nix angehen. jede shice app will irgend welche rechte, die sie nicht braucht und google, schneidet bestimmt mit wo es nur geht. nicht erst seit prism ist mir bewusst, das die amies einen dreck auf unseren datenschutz geben!

    deswegen hab ich aber schon länger die konsequenzen gezogen. mein android smartphone hab ich verscheuert, ich warte auf ubuntu oder firefox os! android kommt mir keins mehr ins haus, google ist sogar als suchmaschine gestrichen. meine rechner sind, soweit ich es sagen kann, clean.

    don't be evil, was 'ne lachplatte :D

    dass dumme an der geschichte ist nur, zig millionen normale user, machen die kacke mit und geben google quasi recht. ob da die paar nerds hier, was ausrichten werden?

  • Sollten andere Hersteller das auch tun, hoffe ich das die zumindest dieDaten verschlüsseln.
    Ich meine unverschlüsselt Nutzernamen+Passwort geht zu weit. Ich meine da könnte jeder amateurhacker einfach paypaldaten abfangen und google und co. macht nix dagegen. Das ist der Sprichwörtliche Schlüssel neben dem Safe, wobei man dan nicht wirklich Safe nennen kann.

  • Kenne Motoblur nicht, aber das ist ein starkes Stück. Finde jedenfalls, dass das zu viel des Bösen ist. Stelle mir auch die Frage wie einer meiner Vorschreiber, welchen Nutzen ein Smartphonehersteller aus dem Adressbuch des Nutzers ziehen könnte? Ruft er jeden Kontakt an, ob er nicht ein Motorola kaufen möchte und wenn er eins hat, fragt er ihn dann wie zufrieden er damit ist? Wird sich da jetzt Motorola oder Google damit selbst ins Bein schießen?
    Hab aber kein Problem damit, dass ein Spieleentwickler weiß wie oft ich ein Spiel starte. Aber wirklich nur das und nichts anderes.
    Adressdaten, SMS- u. eMail- sowie Chatinhalte, Telefonate haben Entwickler/Hersteller nicht zu interessieren! So etwas ist Verletzung der Privatsphäre und sollte unter Strafe fallen.
    Außerdem sollte man Apps vor der Installation einzelne Rechte entziehen können. Ich rege mich gerade maßlos auf!!!

  • @hippo:
    "Google wird diese Funktion wahrscheinlich nicht einbauen, weil sonst viele Apps nicht mehr funktionieren, da die Leute einfach blind alle Rechte entziehen würden. Außerdem möchte man das System so einfach wie möglich halten, jeder sollte es sofort bedienen können, Android hat sowieso schon den Ruf zu kompliziert zu sein... "

    Das sind doch nur ausreden die Funktion nicht zu integrieren. Ein Menü zum nachträglichen Bearbeiten der Rechte stört doch nicht bei der Bedienung!? Die Leute die blind Rechte entziehen müssen sich nicht wundern, wenn eine App dann nicht mehr richtig funktioniert. Ich sehe da kein Problem.

    "Und der Garantieverlust ist beim rooten praktisch nicht vorhanden."

    Soweit ich weiß kann die freiwillige Herstellergarantie verloren gehen.

    @PeterShow:
    "Die größten Probleme machen mir nicht die Apps aus dem PlayStore die evtl. Daten mitschneiden. Was will der Entwickler denn mit den Daten?"

    Sehe ich schon als Problem. Eher nicht, was der einzelne Entwickler damit anstellt. Jedoch hat der Nutzer keinen Einfluss, was mit seinen Daten geschieht. Wie werden sie an den Server übermittelt? Wie sicher sind die Daten auf dem Server? Wie lange werden sie gespeichert? Wo werden sie gespeichert?
    Des Weiteren gibt es auch bestimmte Frameworks, die Entwickler benutzen. Zum Beispiel wenn sie ihre App durch Werbung finanzieren möchten. Durch diese Frameworks kann dann zum Beispiel auch das Werbeunternehmen an Daten kommen. Das finde ich schon sehr bedenklich.

    @Th³ B³@5t:
    Da schließe ich mich dir an. Es kann nicht sein, dass fremde Unternehmen besser über mich informiert sind, als ich selbst.

  • @Andreas Hoffmann Selbst wenn das im System integriert wäre: Was hindert den Geräte-Hersteller, der das ganze System ohnehin umstrickt (Blur) daran, das wieder auszuhebeln? Schließlich baut er die ROM ja zusammen. Da hilft dann wirklich nur ein OpenSource Custom-ROM. Was die betreffenden root-Apps betrifft: Neben LBE (proprietär), PDroid (überwiegend proprietär und nur für CM), und OpenPDroid (OpenSource, aber nur für CM), gibt es jetzt ja auch XPrivacy (OpenSource, für fast jede ROM -- siehe http://www.androidpit.de/xprivacy-berechtigungen-apps-android). Aber ganz davon ab: Selbst bei iPhone & Co müssen Apps vor dem Zugriff auf "private Daten" wie Kontakte, Kalender, oder auch Locationdata explizit die Zustimmung des Anwenders einholen, soweit ich weiß. Das sollte Google/AOSP definitiv endlich einmal umsetzen (gefordert wird es bereits seit Jahren).

    @Hippo Das damit "viele Apps nicht mehr funktionieren" ist ein oft vorgebrachtes Argument, was aber weder Hand noch Fuß hat. Siehe XPrivacy, und siehe -zig Einträge in diversen Tickets bei Google. Man muss die entsprechenden Rechte ja nicht "einfach revoken". Wenn eine App unberechtigt auf das Adressbuch zugreifen möchte, erhält sie halt ein leeres. Dito für Kalender. Fake-Locations sind auch kein Ding. Und das einmal kein Netzwerk verfügbar ist, kann ebensogut vorkommen. Ich nutze seit Jahren LBE -- mir ist noch keine einzige App dadurch abgestürzt. Habe das auch mehrfach provoziert: Skype und einige andere möchten gern die Kontakte abgleichen. Sie fanden schlicht nichts zum Abgleichen -- aber abgestürzt sind sie deshalb nicht.

    @Ralph Die andere Variante findest Du bei LG (ich habe ja ein Optimus 4X). Da wird vorher gefragt: "Stimmen Sie zu, dass LG auf Ihre Daten zugreifen darf?" Dumm nur, dass es keinen "Nein" Button gibt. Nur "Ja" oder "Später". Und "später" ist dann alle 30 Minuten. Mafiaware. Da ich das Teil eh schon fast vor dem Einschalten gerootet hatte (war meine erste Aktion nach dem Akkuladen), hab ich die betreffende App sofort mit TiBu außer Gefecht gesetzt.

    @Olli Nein, das hat er nicht vergessen. Er schrieb explizit, dass er das Blur-Konto absichtlich nicht konfiguriert hatte.

    @Chris: Ausschließen? Eher kannst Du davon ausGEHEN, dass es dort ähnliches gibt. Vielleicht nicht in diesem Umfang.

    @Peter: Der Patch, der dort gebraucht wird, bezieht sich aber nicht aufs ROM, sondern auf das eigene Framework.

    @Alle: Ich stelle mir gerade die Frage, wie lange mein Akku wohl durchhalten würde, wenn die ganze Schnüffelsoft nicht wäre. So gesehe dürfen Motorola-User ja fast dankbar sein, dass nicht auch noch Rechenpower auf die Datenverschlüsselung "verschwendet" wurde...

  • 30

    @Olli: Kontakte werden im google-Konto gespeichert. Es gibt keinen Moto-Konto auf meinen Phone. Allerdings muss man ja vielem zustimmen und dort sind meistens nur Links zu weiteren Infos, die sicher kaum jemand liest. Man will ja endlich die Neuerwerbung nutzen. Oder es macht der/die nette Verkäufer/in im Laden bereits für einen und schon sieht man nichts.

    Dennoch will ich Motorols nicht vorschnell verurteilen und bin gespannt, was daraus wird.

    @Chris SGS: Nein, das kann man nicht ausschließen. Ich weiß nicht einmal, ob Gesetze wirklich etwas bringen würden, außer dass sich Firmen ihre Produkte aus bestimmten Ländern zurückziehen und dann jammern die Verbraucher auch wieder, dass die Politik den Fortschritt behindere.

Zeige alle Kommentare

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!