Speicherscanner vorinstalliert Samsung Smartphones schicken heimlich Daten nach China

Samsung Smartphones werden mit einer Speichersoftware „Device Care“ ausgeliefert, die Aktivitäten nach China meldet. Der Speicherscanner stammt von der chinesischen Datamining- und Antivirus-Firma Qihoo 360, ist vorinstalliert und lässt sich nicht selbstständig entfernen. Samsung wiegelt ab.

Qihoo 360 war in der Vergangenheit bereits in mehrere Datenschutzskandale verwickelt. Der Speicherscanner hat vollen Zugriff auf alle persönlichen Daten und kann diese Daten an die chinesische Regierung liefern, wie es chinesische Gesetze und Regulierungen vorsehen.

China-Reise nur mit Wegwerf-Handys

Wegen zunehmender Spionagegefahr hatte erst kürzlich das Bundesamt für Verfassungsschutz (BfV) Touristen und Geschäftsleute eindringlich zur Vorsicht bei China-Reisen geraten und im Hinblick auf die Sicherheit von Kommunikation und Daten empfohlen, für den Aufenthalt in China einen Reiselaptop und ein „Wegwerfhandy“ (Prepaid) zu beschaffen, nur diese zu nutzen und nicht aus der Hand zu geben.

Die auf den mitgeführten Geräten gespeicherten Daten, insbesondere Kontakte, sollten sich auf das für die Reise notwendige Maß beschränken, so die Geheimdienstler weiter. Nach der Rückkehr aus China sollten die Geräte einer gründlichen Virenprüfung beziehungsweise Neuinstallation unterzogen oder sogar entsorgt werden.

Die Empfehlungen resultieren aus der Einschätzung des Bundesamtes, dass China „im Wissen um die eigene Stärke“ als globale Führungsmacht „zunehmend selbstbewusst und zum Teil offen aggressiv“ auftrete, wenn es darum gehe, eigene Interessen durchzusetzen. Die Geheimdienstler sehen etwa ein „erhebliches Risiko“ im Hinblick auf die Überwachung von Telekommunikation und persönlichen Daten durch die Einwahl in lokale WLAN-Netze – zum Beispiel im Hotel - oder den mobilen Datenverkehr in China. Dahinter steht die Erkenntnis, dass der chinesische Staat auch in technischer Hinsicht bei der Überwachung von Reisenden aufrüste.

Erst kürzlich sei bekannt geworden, dass die chinesische Grenzpolizei bei Einreisen nach China über die Provinz Xinjiang eine Überwachungs-App auf den Smartphones von ausländischen Personen installieren solle. Die App diene offenbar der automatisierten Untersuchung der Geräte auf unerwünschte beziehungsweise verdächtige Inhalte und soll Datenabfluss ermöglichen.

Samsung-Handys docken an chinesische Server an

Ein genauerer Blick auf das Speichermodul von „Device Care“ enthüllt, dass das Feature mit mehreren chinesischen Servern kommuniziert, wenn es gestartet wird.

Durch Scannen der Internetaktivitäten des Gerätes beziehungsweise der App mit dem Netzwerksniffer Wireshark konnten mehrere Verbindungen zu Servern von Qihoo360 festgestellt werden, während der Speicherscanner die Device-Care-App verwendete. Welche Daten übertragen wurden, konnte nicht festgestellt werden.

Laut Samsung werden an Qihoo360 nur generische Informationen geschickt, die zur Optimierung des Speichers benötigt werden. Darunter sind die Betriebssystemversion, das Telefonmodell und die Speicherkapazität. Daten, die es der Sicherheitsfirma ermöglichten, bestimmte Dateien auf dem Gerät zu identifizieren, würden nicht übermittelt.

Von Qihoo360 stamme zudem eine Referenzbibliothek zur Identifizierung von Junk-Dateien, die im Dienstprogramm enthalten seien. Der Speicheroptimierungsprozess, einschließlich des Scannens und Entfernens von Junk-Dateien, wird vollständig von Samsungs Gerätepflege-Lösung verwaltet, erklärte Samsung.

Was Samsung freilich nicht erklärte ist, warum die Koreaner überhaupt Software der suspekten Firma Qihoo360 installiert haben. Es gibt schließlich diverse Alternativen, welche keine derartige negative Historie aufzuweisen haben. So wurde Qihoo360’s firmeneigenen TLS-Zertifizierungsstellen Wosign und Startcom von Mozilla und Google das Vertrauen entzogen. Die Vorwürfe lauteten, die Browser-Community in die Irre geführt zu haben, statt aufgedeckte Schwachstellen adäquat zu beseitigen. Zudem hätten die Zertifizierungsstellen versucht, Beschränkungen der Browser bei SHA1-Zertifikaten zu umgehen, indem sie Zertifikate rückdatierten.