Pep: Open-Source-Mail-App wirbt mit gefälschten Bewertungen

Die Open Source Mail-App Pep (Pretty Easy Privacy) hat viele positive Bewertungen im Google Play Store. Das hat einen einfachen Grund: Sie wurden gekauft. Das geht aus geleakten E-Mails hervor, die das Onlinemagazin Motherboard erhalten hat.

Demnach beauftragte das in Luxemburg und der Schweiz ansässige Unternehmen Pep Security SA die Marketingfirma Mobiaso damit, insgesamt 40 Fünf-Sterne-Bewertungen auf Deutsch, Englisch und Französisch im Google Play Store zu platzieren. Die entsprechenden Bewertungstexte fügte Gründer und CO-CEO Leon Schumacher in einer Excel-Datei an.

Fake-Bewertungen küren Pep zur besten Mail-App

Mehrere der Bewertungen wurden laut Motherboard wortwörtlich in Googles Play Store veröffentlicht. "Eine der besten Mail-Anwendungen. Ich habe noch nie Probleme gehabt und empfehle es ständig an Freunde weiter", lautete demnach einer der Texte.

Ein anderer - "Super easy Privacy" - spielt auf den Namen des Projektes an, dass sich zum Ziel gemacht hat, die E-Mail-Verschlüsselung OpenPGP deutlich zu vereinfachen. Damit war es allerdings nicht immer erfolgreich.

In einer E-Mail an Motherboard gibt sich Schumacher geläutert: "Ich habe diesen Fehler gemacht. Es wurde mir empfohlen, ASO [App Store Optimization] auszuprobieren und so habe ich einen Probelauf gemacht. Ich dachte, ich müsste es versuchen. Das hätte ich nicht tun sollen. Es hat nicht so funktioniert, wie es beworben wurde. Deshalb habe ich es vor Beendigung der Probeliste gestoppt."

Insgesamt 50 gefälschte Bewertungen habe er für 325 US-Dollar in Auftrag gegeben, aber nur 20 seien tatsächlich gepostet worden.

Doch in den E-Mails an Mobiaso aus dem Juli vergangenen Jahres, deren Authentizität das Onlinemagazin über eine DKIM-Signatur feststellen konnte, ist noch nichts von Schumachers Reue zu hören: "Ich bin wieder da, um den letzten Auftrag abzuschließen und einen neuen Auftrag hinzuzufügen. Die App wird ab dem 30. Juli wieder kostenlos sein."

Davor konnte es Schumacher teilweise nicht schnell genug gehen: "Können wir das heute beschleunigen und 12 Bewertungen pro Tag machen", fragte er in einer E-Mail.

Kritik von der EFF

"Das ist ein neuartiger Ansatz für 'Zero Trust'", sagte Eva Galperin, die Direktorin für Cybersicherheit der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) zu Motherboard. "Ich würde ihnen nicht trauen."

Erst kürzlich war die Mail-App Pep gemeinsam mit K-9 Mail und Fair Email in einem Test der Verbraucherschutzplattform Mobilsicher.de als empfehlenswert gekürt worden. Alle drei sind Open Source und unterstützen eine Ende-zu-Ende-Verschlüsselung mit OpenPGP. Im Unterschied zu anderen Apps im Test schicken sie weder E-Mails noch Passwörter an die jeweiligen Anbieter.

Nachtrag vom 22. März 2021, 15:30 Uhr

Auf Nachfrage von Golem.de erklärte Co-CEO und Gründer Volker Birk von Pep Security, dass das Unternehmen die Bewertungen nicht gekauft habe. "Ein Board-Mitglied hat privat eine Trial gekauft von einem höchst dubiosen Unternehmen für 325 US-Dollar", sagte Birk. Anschließend habe er "begonnen, das auszuprobieren, und dann nach der Hälfte den Versuch abgebrochen. Aber da war der Schaden entstanden."