Neulich hatte ich beim Besuch des iPhone-App-Stores einen veritablen Flashback: Ich wurde zwanzig Jahre zurück in die Vergangenheit geschleudert. Ihr erinnert euch womöglich selbst: 2001 ist uns gewahr geworden, dass es Programme gibt, die unser Nutzungsverhalten analysieren wollen. Damals waren das unlautere Shareware-Programme oder dubiose Erweiterungen für Browser oder E-Mail-Programme.
Dafür hat man damals den Begriff der Spyware verwendet. Heute hat diese Bezeichnung ausgedient. Und zwar nicht, weil diese diebischen Software verchwunden wäre. Ganz im Gegenteil, unser Nutzungsverhalten wird intensiver untersucht, als je zuvor. Doch man nennt das heute «Tracking»: Das klingt zwar nicht komplett positiv, aber auch nicht so anprangerisch wie Spyware.
Man könnte nun darüber spekulieren, warum das so ist. Ich vermute, dass es mit der Gewöhnung bei uns Anwenderinnen zu tun hat. Und selbstredend haben die Unternehmen gelernt, dass sich viele Nutzer noch so gerne tracken lassen, wenn es dafür etwas gratis gibt.
Was steckt hinter Spybuster von Macpaw?
Wie auch immer: Im App Store findet sich die App Spybuster von Macpaw, das auf der Website des Herstellers als «Anti-Spyware-Tool» angepriesen wird: Genauso wie 2001, als wir mit Programmen wie Spychecker hantiert haben.
Doch da wir im iPhone-Zeitalter leben, wirft diese App Fragen auf.
Die erste und entscheidende Frage lautet, wie das überhaupt gehen soll. Denn bekanntlich platziert Apple beim iPhone die Apps der Dritthersteller in einer Sandbox. Diese isoliert die Programme voneinander.
Es ist dieser Sandbox zuzuschreiben, dass es bei iOS keine Antiviren-Apps von McAfee, Symantec und Konsorten gibt: Die haben nämlich keine Möglichkeit, einen Scan des Dateisystems vorzunehmen, das lässt das Betriebssystem nicht zu. Das einzige, was diese Apps tun könnten, wäre, ihr eigenes Programmverzeichnis prüfen. Doch eine Antiviren-Software, die bloss sich selbst Virenfreiheit bescheinigt, ist ohne Zweifel witzlos.
Damit Spybuster irgendeine Aussage zu den installierten Apps treffen kann, müsste die App zumindest in der Lage sein festzustellen, welche Apps auf dem iPhone überhaupt installiert sind. Doch auch das ist offiziell nicht möglich: Apple stellt keine Programmschnittstelle bereit, über die sich die installierten Apps abfragen lassen. Eine solche Erhebung ist nur auf einem Umweg möglich; nämlich via URL-Schema.
Apple beschreibt das URL scheme und seine Funktionsweise hier:
Benutzerdefinierte URL-Schemata bieten eine Möglichkeit, auf Ressourcen innerhalb Ihrer App zu verweisen. Benutzer, die zum Beispiel in einem E-Mail auf eine benutzerdefinierte URL tippen, starten Ihre App in einem bestimmten Kontext. Auch andere Apps können den Start Ihrer App mit bestimmten Kontextdaten auslösen, z. B. kann eine Fotobibliothek-App ein bestimmtes Bild anzeigen.
Ein individuelles URL-Schema ist so registriert, dass andere Apps es abfragen können. Denn allem Privatsphärenschutz zum Trotz müssen sie in der Lage sein herauszufinden, ob für bestimmte Aufgaben eine App vorhanden ist.
Macpaw schreibt es zwar nicht explizit, aber es ist anzunehmen, dass Spybuster die URL-Schemata abfragt, um herauszufinden, welche Apps installiert sind.
Das kann gar nicht funktionieren!
Mit diesen Erkenntnissen können wir uns bereits ein Urteil über Spybuster erlauben: Diese App kann das gemachte Versprechen nicht halten. Allein anhand des URL-Schemas lässt sich keine Aussage über die Gefährlichkeit einer Software treffen. Ausserdem gibt es Apps, die kein URL-Schema registrieren. Diese kann Spybuster nicht aufspüren, was dazu führt, dass die Überprüfung lückenhaft erfolgt.
Bei meinem Test gibt es zwei Meldungen zu Spyware: Erstens PeakVisor (Wer hat den schönsten virtuellen Gipfel?) und zweitens TextGrabber (Fotografieren statt abtippen). Beide sind verdächtig, weil sie Verbindungen zu Russland haben.
Ja, genau: Der einzige Verdachtsmoment, den Spybuster überprüft, ist die Herkunft der App. Und Apps aus Russland und Belarus (Weissrussland) sind automatisch verdächtig. Andere Apps sind unverdächtig, selbst wenn sie aus anderen Ländern mit ungenügenden Datenschutzgesetzen (China, Malaysia, Thaland, Indien, UK) stammen oder wir anderweitig gute Gründe haben, um unsere Privatsphäre zu fürchten (Beispiel: Facebook).
Spybuster ist eigentlich eine Anti-Russland-App
Das ist angesichts des Herstellers erklärlich: Macpaw ist ein ukrainisches Softwareunternehmen mit Sitz in Kiew. Es ruft auf seiner Website zu Spenden für den Kampf gegen die Angreifer auf. Mit anderen Worten: Spybuster ist eine politisch motivierte App und richtet sich an Leute, die keine russische Software verwenden wollen.
Diesen Wunsch kann ich nachvollziehen. Dennoch bleibt es dabei, dass diese App nicht das tut, was sie zu tun behauptet – und dass das ein Etikettenschwindel ist. Es gibt keine Grundlage zur Behauptung, Apps aus Russland und Belarus wären von Haus aus Spionageprogramme. Und ja, mir ist bekannt, dass der Schutz persönlicher Daten in Russland nicht grossgeschrieben wird. Der Wikipedia-Beitrag zur Massenüberwachung macht die Sache klar:
Im Juli 2016 unterzeichnete Präsident Wladimir Putin zwei Gesetzesänderungen, die nach ihrer Hauptverfasserin, Irina Jarowaja, gemeinhin als «Jarowaja-Gesetz» bezeichnet werden. Den Änderungen zufolge sind Internet- und Telekommunikationsunternehmen verpflichtet, Kommunikations- und Metadaten sechs Monate bis drei Jahre lang zu speichern. Sie sind verpflichtet, diese sowie «alle anderen erforderlichen Informationen» auf Anfrage und ohne Gerichtsbeschluss an die Behörden weiterzugeben. Ausserdem müssen die Anbieter von E-Mail- und Messaging-Diensten über kryptografische Hintertüren verfügen.
Das heisst nichts anderes, als dass Daten auf russischen Servern nach Belieben von der russischen Regierung eingesehen werden können. Darüber sollte man Bescheid wissen.
Aber russische Software komplett zu meiden, scheint mir nicht angebracht. Genau sowenig, wie ich empfehlen würde, keine Musik mehr von Tschaikowski oder Rachmaninow zu hören und die Bücher von Tolstoi, Puschkin oder Dostojewski wegzuwerfen.
Und ja, mir ist schon einsichtig, dass eine Platte oder ein Roman einem keine Daten klaut. Aber wenn es danach ginge, wäre auch die Verwendung von US-amerikanischer Software ein Risiko, zumal dort die Geheimdienste ihre Finger bekanntermassen im Spiel haben. Es braucht in jedem Fall eine nüchterne Risikoabwägung, die sich daran bemisst, wie sensibel die Daten sind, die man einem Softwareprodukt anzuvertrauen gedenkt.
Generell bin ich dagegen, Dinge nur nach ihrer Herkunft zu beurteilen.
Beitragsbild: Die App ist eigentlich ein Manifest gegen Software aus Russland (Matti, Pexels-Lizenz).