Sony-Android-App Backup & Restore manipuliert: Nutzerdaten in Gefahr?
Alexander Trust, den 25. November 2014
Im Google Play App Store gab es seit dem Wochenende die App „Backup & Restore“. Sie wird eigentlich auf allen Xperia Z3 Android-Smartphones vorinstalliert mitgeliefert. Doch Hacker haben scheinbar die Identität der App manipuliert und ein öffentliches Listing im Play Store erzielt.
Im Nebel der Gerüchte um abermalige Hacks von Sonys PlayStation Network ist am Wochenende im Google Play Store die App „Backup & Restore“ veröffentlicht worden, und zwar nicht von Sony selbst, sondern von einem „Nirav Patel Kanudo“, der als Publisher genannt wird. Im Beschreibungstext heißt es, die Software werde von der „HeArT HaCkEr Group“ verwaltet. Das Listing im Play Store ist mittlerweile wieder entfernt worden.
Herkunft manipuliert
Warum eine App, die eigentlich von Sony angeboten wird, mit einem Mal eine andere Herkunft aufweist, erläutern wir im Anschluss.
Sony bietet diese App normalerweise allen Besitzern von neueren Sony-Android-Devices an, damit diese damit Informationen über installierte Apps, Medien, SMS und Kontakte sichern können. Öffentlich im Play Store zugänglich war sie bis dahin nicht.
Im XperiaBlog wurde die manipulierte App auf einem Xperia Z3 entdeckt. Sie tauchte auf dem Gerät in der Liste der installierten Apps in der Google Play Store App mit manipulierten App-Informationen auf.
Sony untersucht Vorfall
Sony hat die Existenz der vermeintlich manipulierten App in einem Eintrag eines Support-Forums bestätigt. Man untersuche die Situation, heißt es. Nutzer sollten aber in jedem Fall diese App vermeiden.
„Sony Mobile takes the security and privacy of customer data very seriously. We are currently investigating these reports. More information will follow as soon as we have fully assessed the situation.“
Sony Mobile
Millionen Kundendaten in Gefahr?
Schaut man sich im Android-Betriebssystem die Liste der Funktionen an, auf die der App Zugriff gewährt wird, schrillen die Alarmsirenen. Sie darf alle SMS oder MMS lesen, sie kann die Anrufliste und die Kontaktliste auslesen, sie kann den Kalender, sowie als privat markierte Informationen lesen, hat weiterhin Zugriff auf die Lesezeichen und die Surf-Historie des Nutzers. Die App kann sogar den Inhalt auf der SD-Karte modifizieren und löschen, sowie lesen. Außerdem sei sie in der Lage Zugriff auf die gesamte Netzwerk-Kommunikation zu nehmen und die Netzwerk-Verbindungen anzusehen.
App nur Fake: Googles lasche Signaturen Schuld
Für dieses Phänomen soll tatsächlich ein indischer Entwickler mit dem Namen Nirav Patel verantwortlich sein. Er hat Googles App nachgebaut und ausschauen lassen als sei sie gehackt worden. Da Google keine entsprechenden Verifizierungsmechanismen unterhält, hat Patel die Signatur Sonys (com.sonymobile.synchub) für seine Fake-App verwendet. Da Besitzer von Sony-Apps eine echte App mit dieser Signatur bereits installiert haben, wurde entsprechend sie Fake-App als „installiert“ in der Google Play App angezeigt.