Tracking: Viele Apps nutzen ein SDK, das seine Herkunft verschleiert

Das Unternehmen hinter einer weit verbreiteten SDK verschleiert seine Herkunft und arbeitet mit gefälschten Linkedin-Profilen angeblicher Führungskräfte.

Artikel veröffentlicht am ,
Das Pushwoosh-SDK im Einsatz
Das Pushwoosh-SDK im Einsatz (Bild: Pushwoosh)

Tausende Anwendungen aus den App Stores von Google und Apple verwenden das SDK (Software Development Kit) Pushwoosh, darunter auch Apps des US-Militärs. Laut einem Bericht der Nachrichtenagentur Reuters gibt das Unternehmen Pushwoosh Inc. vor, aus den USA zu stammen, kommt aber aus Russland. Nicht die einzige Ungereimtheit.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d)
    BruderhausDiakonie Stiftung Gustav Werner und Haus am Berg, Reutlingen
  2. Product Owner im Sondermaschinenbau (m/w/d)
    Schaeffler Technologies AG & Co. KG, Erlangen
Detailsuche

Mit dem Pushwoosh-SDK sollen Entwickler ihre App um Funktionen wie den Versand von Pushbenachrichtigungen, aber auch Mitteilungen per E-Mail, SMS, Whatsapp oder Mitteilungen in der App ergänzen. Zudem sammelt die SDK Daten über die Nutzer.

Als Hauptsitz der Entwickler-Firma wird auf dem Twitter-Profil Washington D.C. in den USA angegeben. Auch die US-Gesundheitsbehörde wurde nach eigenen Angaben CDC über den Sitz der Firma getäuscht. Die Annahme basierte demnach auf "Darstellungen" des Unternehmens.

Mit Fake-Profilen auf Linkedin den Standort verschleiert

Laut Reuters hat das Unternehmen mit seinen 40 Beschäftigten seinen Hauptsitz in der sibirischen Stadt Novosibirsk. Dort soll es als Softwareunternehmen registriert sein und einen Umsatz von 2,4 Millionen US-Dollar gemeldet haben.

Golem Karrierewelt
  1. Einführung in das Zero Trust Security Framework (virtueller Ein-Tages-Workshop)
    18.01.2023, virtuell
  2. LPI DevOps Tools Engineer – Prüfungsvorbereitung: virtueller Zwei-Tage-Workshop
    15./16.12.2022, Virtuell
Weitere IT-Trainings

Während der Eigentümer auf Nachfrage von Reuters schreibt "Ich bin stolz darauf, Russe zu sein und würde das niemals verbergen", erklärt das Unternehmen nach der Veröffentlichung der Reuters-Recherche in einem Blogeintrag: "Pushwoosh Inc. ist eine privat geführte C-Corp-Gesellschaft, die nach dem Recht des Staates Delaware, USA, gegründet wurde. Pushwoosh Inc. war nie im Besitz eines in der Russischen Föderation registrierten Unternehmens".

Vielmehr sei die Produktentwicklung an das Unternehmen in Novosibirsk ausgelagert worden. Der Vertrag sei jedoch im Februar 2022 gekündigt worden, heißt es von Pushwoosh Inc. weiter. Auf Nachfragen von Reuters zu Beweisen für diese Aussage reagierte das Unternehmen jedoch nicht.

Unter der US-Adresse des Unternehmens wohnt ein Freund des Eigentümers des Unternehmens in Novosibirsk. Dieser erklärte, er habe nichts mit Pushwoosh zu tun und nehme nur die Post für seinen russischen Freund an. Auf Linkedin nutzte Pushwoosh zwei Konten von angeblichen Führungskräften namens Mary Brown und Noah O'Shea, um Kunden zu werben.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Doch weder Brown noch O'Shea sind echte Personen, wie Reuters herausfand. So stammt das Bild von Brown von einer Tanzlehrerin, die in Österreich lebt, das von einer Fotografin in Moskau aufgenommen wurde. Linkedin hat die Konten mittlerweile gelöscht.

Pushwoosh kommt in bekannten Apps zum Einsatz und sammelt Daten

Das Pushwoosh-SDK wurde von etlichen bekannten Firmen und Behörden eingesetzt, darunter die Fußballorganisation Uefa, die US-Waffenlobby NRA, die britische Labour-Partei sowie der Lebensmittelhersteller Unilever und das US-Militär. Auch Gesundheitsapps der CDC setzten die SDK ein. Insgesamt soll der Code in fast 8.000 Apps verwendet worden sein. Auf der Webseite von Pushwoosh ist von mehr als 2,3 Milliarden Geräten die Rede.

"Pushwoosh sammelt Nutzerdaten, einschließlich präziser Geolokalisierung, über sensible und staatliche Apps, was ein invasives Tracking in großem Umfang ermöglichen könnte", sagte Jerome Dangu, Mitbegründer von Confiant, einem Unternehmen, das den Missbrauch von Daten verfolgt, die in Online-Werbe-Lieferketten gesammelt werden, zu Reuters. Allerdings habe man keine eindeutigen Anzeichen für betrügerische oder böswillige Absichten bei den Aktivitäten von Pushwoosh gefunden.

Die Daten, die Pushwoosh sammelt, ähnelten denen anderer Trackingdienste von Google, Facebook oder Amazon, sagte der Sicherheitsforscher Zach Edwards. Dass sich gute Apps auch ohne solche Tracking-Dienste entwickeln lassen, die Daten für Unternehmen sammeln und immer wieder auch an Regierungen weitergeben oder verkaufen, zeigt beispielsweise der Messenger Signal oder das Projekt Privacy Friendly Apps.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
25 Jahre Mars Attacks!
"Aus irgendeinem merkwürdigen Grund fehl am Platz"

Viele Amerikaner fanden Tim Burtons Mars Attacks! nicht so witzig, aber der Rest der Welt lacht umso mehr - bis heute, der Film ist grandios gealtert.
Von Peter Osteried

25 Jahre Mars Attacks!: Aus irgendeinem merkwürdigen Grund fehl am Platz
Artikel
  1. NIS 2 und Compliance vs. Security: Kann Sicherheit einfach beschlossen werden?
    NIS 2 und Compliance vs. Security
    Kann Sicherheit einfach beschlossen werden?

    Mit der NIS-2-Richtlinie will der Gesetzgeber für IT-Sicherheit sorgen. Doch gut gemeinte Regeln kommen in der Praxis nicht immer unbedingt auch gut an.
    Von Nils Brinker

  2. Artemis I: Orion-Kapsel ist in Mondorbit eingeschwenkt
    Artemis I
    Orion-Kapsel ist in Mondorbit eingeschwenkt

    Die Testmission für Mondlandungen der Nasa Artemis I hat den Mond erreicht. In den kommenden Tagen macht sich die Orion-Kapsel auf den Rückweg.

  3. Apple-Auftragsfertiger: Unruhen bei Foxconn und 30 Prozent iPhone-Produktionsverlust
    Apple-Auftragsfertiger
    Unruhen bei Foxconn und 30 Prozent iPhone-Produktionsverlust

    Foxconn soll Einstellungsprämien an Arbeiter nicht gezahlt haben, weshalb es zu Unruhen kam. Nun gab es Massenkündigungen. Für Apple ist die Situation gefährlich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN770 500GB 49,99€ • GIGABYTE Z690 AORUS ELITE 179€ • Seagate FireCuda 530 1TB 119,90€ • Crucial P3 Plus 1TB 81,99 & P2 1TB 67,99€ • Alpenföhn Wing Boost 3 ARGB 120 3er-Pack 42,89€ [Werbung]
    •  /