Measurement Systems hat Verbindungen zu US-Sicherheitsbehörden

Dabei zeigten sich Verbindungen mit einem Verteidigungsunternehmen in Virginia, das für die nationalen Sicherheitsbehörden der USA in den Bereichen Cyberspionage, Netzwerkverteidigung und Abfangen von Informationen tätig ist.

Laut den Entwicklern bezahlte Measurement Systems Entwickler auf der ganzen Welt dafür, das eigene SDK in die Apps einzubauen. Die Sicherheitsexperten haben nach eigenen Angaben in den vergangenen sechs Jahren kein anderes SDK gesehen, das so stark in die Privatsphäre eingegriffen hat wie das von Measurement Systems. Das SKD könne "ohne Zweifel als Malware bezeichnet werden", sagte Egelman.

Measurement Systems erklärte App-Entwicklern, dass es vor allem Daten aus dem Nahen Osten, aus Mittel- und Osteuropa sowie Asien benötige. Das geht aus Unterlagen hervor, die das Wall Street Journal einsehen konnte. Mehrere Entwickler geben an, dass Measurement Systems von ihnen verlangt hat, Geheimhaltungsvereinbarungen zu unterzeichnen.

SDK sammelte viele persönliche Daten

Reardon und Egelman fanden heraus, dass das SDK eine große Menge an Daten über jeden Nutzer sammelte, darunter den genauen Standort, persönliche Daten wie E-Mail-Adressen und Telefonnummern sowie Daten über Computer und mobile Geräte in der Nähe. Vor allem das Sammeln persönlicher Daten dürfte in vielen Ländern gegen geltende Datenschutzgesetze verstoßen.

Zudem konnte das SDK Daten aus der Zwischenablage des Smartphones auslesen. Wer darüber etwa Kennwörter kopiert hat, gab diese Daten an das Unternehmen weiter.

Auf den Spuren von Measurement Systems

Die Internet-Domain von Measurement Systems wurde 2013 von einem US-amerikanischen Unternehmen namens Vostrom Holdings Inc. registriert. Den Unternehmensunterlagen zufolge wickelt Vostrom seine Geschäfte mit der Bundesregierung über eine Tochtergesellschaft namens Packet Forensics LLC ab. Vostrom und seine Tochtergesellschaften sind mit Rodney Joffe, einem langjährigen Cybersecurity-Berater für die US-Regierung, verbunden und werden von mehreren seiner Schützlinge geleitet.

Laut Personen, die mit Joffes Karriere vertraut sind, beschafft er spezialisierte Daten und Fähigkeiten für Regierungsstellen, manchmal für geheime Programme.

Measurement Systems antwortete in einer E-Mail: "Die Behauptungen, die Sie über die Aktivitäten des Unternehmens aufstellen, sind falsch. Außerdem sind uns keine Verbindungen zwischen unserem Unternehmen und US-Verteidigungsunternehmen bekannt, und wir wissen auch nichts von einem Unternehmen namens Vostrom. Wir sind uns auch nicht im Klaren darüber, was Packet Forensics ist oder in welcher Beziehung es zu unserem Unternehmen steht." Measurement Systems antwortete nicht auf Fragen, wie die Domain von Vostrom registriert wurde.