ToTok: Populäre Chat-App spionierte für die UAE Millionen Nutzer aus
Es ist heutzutage nicht immer leicht, "gute" von bösen Apps zu unterscheiden, insbesondere für Laien, die dem Thema Sicherheit am Smartphone tendenziell wenig Bedeutung beimessen. Wie das Beispiel ToTok zeigt, gab es allerdings rückblickend durchaus ein Indiz, das auf die dunklen Machenschaften der Entwickler und ihrer Hintermänner hindeutete. Die New York Times berichtete gestern über den insbesondere in den Vereinigten Arabischen Emiraten, aber auch in den angrenzenden Ländern sowie Asien, Europa und den USA populäres Chat-Tool namens ToTok, nicht zu verwechseln mit der Vine-ähnlichen Video-App TikTok aus China.
Die bis vor Kurzem in den prominenten App-Stores von Apple und Google als "geprüfte" Chat-Anwendung verfügbare Software, die auch jetzt noch etwa in der Huawei App Gallery zum Download zur Verfügung steht und von Huawei auch via Facebook beworben wurde entpuppte sich als reinrassiges Spytool. Nicht nur sämtliche Konversationen und Gespräche, auch der Standortverlauf und die am Handy gespeicherten Fotos und Videos wurden für die Regierung der UAE ausspioniert, schreibt die New York Times auf Basis eigener Recherchen sowie Angaben von Sicherheitsexperten der USA und des Mittleren Ostens. Nicht nur Bürger dieses einen Landes waren betroffen sondern alle, die der installierten App die entsprechenden Rechte gegeben hatten.
Hier zeigt sich auch das Dilemma vieler Nutzer, die oft nicht entscheiden können, welche Rechte eine Anwendung tatsächlich für ihre zentralen Aufgaben benötigt. Um etwa den Zugriff auf den Standort der Nutzer zu erhalten, boten die ToTok-Entwickler, hinter denen sich die Spionagefirma Dark Matter verstecken soll, auch lokale Wetterinformationen an. Stutzig machen sollte allerdings auch noch etwas Anderes: Im Gegensatz etwa zu Whatsapp und Skype, bei denen einige Funktionen von der Regierung geblockt sind, wurde ToTok als frei verfügbare Alternative beworben.
Wer die App noch installiert hat, sollte sie umgehend löschen und wohl in Zukunft vermehrt aufpassen, welche Apps man installiert und welche Rechte diese dann auch tatsächlich brauchen und erhalten sollten. Apps, die damit werben, die Daten verschlüsselt zu speichern, wie etwa auch ToTok, sind nicht automatisch sicher, nur eine echte Ende-zu-Ende-Verschlüsselung, bei der die Software-Entwickler keinen Einblick in die Gespräche erhalten, wie das etwa bei Signal, Threema oder auch Whatsapp der Fall ist, gelten als sicher vor dem Zugriff Dritter.