Tracking: Viele Apps nutzen ein SDK, das seine Herkunft verschleiert
Tausende Anwendungen aus den App Stores von Google und Apple verwenden das SDK (Software Development Kit) Pushwoosh, darunter auch Apps des US-Militärs. Laut einem Bericht der Nachrichtenagentur Reuters gibt das Unternehmen Pushwoosh Inc. vor, aus den USA zu stammen, kommt aber aus Russland. Nicht die einzige Ungereimtheit.
Mit dem Pushwoosh-SDK sollen Entwickler ihre App um Funktionen wie den Versand von Pushbenachrichtigungen, aber auch Mitteilungen per E-Mail, SMS, Whatsapp oder Mitteilungen in der App ergänzen. Zudem sammelt die SDK Daten über die Nutzer.
Als Hauptsitz der Entwickler-Firma wird auf dem Twitter-Profil Washington D.C. in den USA angegeben. Auch die US-Gesundheitsbehörde wurde nach eigenen Angaben CDC über den Sitz der Firma getäuscht. Die Annahme basierte demnach auf "Darstellungen" des Unternehmens.
Mit Fake-Profilen auf Linkedin den Standort verschleiert
Laut Reuters(öffnet im neuen Fenster) hat das Unternehmen mit seinen 40 Beschäftigten seinen Hauptsitz in der sibirischen Stadt Novosibirsk. Dort soll es als Softwareunternehmen registriert sein und einen Umsatz von 2,4 Millionen US-Dollar gemeldet haben.
Während der Eigentümer auf Nachfrage von Reuters schreibt "Ich bin stolz darauf, Russe zu sein und würde das niemals verbergen" , erklärt das Unternehmen nach der Veröffentlichung der Reuters-Recherche in einem Blogeintrag: "Pushwoosh Inc. ist eine privat geführte C-Corp-Gesellschaft, die nach dem Recht des Staates Delaware, USA, gegründet wurde. Pushwoosh Inc. war nie im Besitz eines in der Russischen Föderation registrierten Unternehmens."
Vielmehr sei die Produktentwicklung an das Unternehmen in Novosibirsk ausgelagert worden. Der Vertrag sei jedoch im Februar 2022 gekündigt worden, heißt es von Pushwoosh Inc. weiter. Auf Nachfragen von Reuters zu Beweisen für diese Aussage reagierte das Unternehmen jedoch nicht.
Unter der US-Adresse des Unternehmens wohnt ein Freund des Eigentümers des Unternehmens in Novosibirsk. Dieser erklärte, er habe nichts mit Pushwoosh zu tun und nehme nur die Post für seinen russischen Freund an. Auf Linkedin nutzte Pushwoosh zwei Konten von angeblichen Führungskräften namens Mary Brown und Noah O'Shea, um Kunden zu werben.
Doch weder Brown noch O'Shea sind echte Personen, wie Reuters herausfand. So stammt das Bild von Brown von einer Tanzlehrerin, die in Österreich lebt, das von einer Fotografin in Moskau aufgenommen wurde. Linkedin hat die Konten mittlerweile gelöscht.
Pushwoosh kommt in bekannten Apps zum Einsatz und sammelt Daten
Das Pushwoosh-SDK wurde von etlichen bekannten Firmen und Behörden eingesetzt, darunter die Fußballorganisation Uefa, die US-Waffenlobby NRA, die britische Labour-Partei sowie der Lebensmittelhersteller Unilever und das US-Militär. Auch Gesundheitsapps der CDC setzten die SDK ein. Insgesamt soll der Code in fast 8.000 Apps verwendet worden sein. Auf der Webseite von Pushwoosh ist von mehr als 2,3 Milliarden Geräten die Rede.
"Pushwoosh sammelt Nutzerdaten, einschließlich präziser Geolokalisierung, über sensible und staatliche Apps, was ein invasives Tracking in großem Umfang ermöglichen könnte", sagte Jerome Dangu, Mitbegründer von Confiant, einem Unternehmen, das den Missbrauch von Daten verfolgt, die in Online-Werbe-Lieferketten gesammelt werden, zu Reuters. Allerdings habe man keine eindeutigen Anzeichen für betrügerische oder böswillige Absichten bei den Aktivitäten von Pushwoosh gefunden.
Die Daten, die Pushwoosh sammelt, ähnelten denen anderer Trackingdienste von Google, Facebook oder Amazon, sagte der Sicherheitsforscher Zach Edwards. Dass sich gute Apps auch ohne solche Tracking-Dienste entwickeln lassen, die Daten für Unternehmen sammeln und immer wieder auch an Regierungen weitergeben oder verkaufen , zeigt beispielsweise der Messenger Signal oder das Projekt Privacy Friendly Apps .