Sicherheitslücken und Spionage-Apps: Die Risiken für dein Smartphone
Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Spioniert dein Handy dich aus?
Torben Platzer hat ein spannendes und beunruhigendes Selbstexperiment gestartet, um herauszufinden, wie leicht es tatsächlich ist, ein Smartphone auszuspionieren. In einer Zeit, in der die Privatsphäre mehr denn je unter Beschuss steht, wollte er die Effektivität und die Risiken von Spionage-Apps erkunden. Er ist sich sicher, dass viele Leute ihr Handy sofort auf Werkseinstellungen zurücksetzen werden, wenn sie von Torbens Erkenntnissen hören.
Das Gefühl, abgehört zu werden, hat sicherlich jeder schon einmal gehabt. Und auch die Neugier war bei jedem schon mal groß, herauszufinden, welche Geheimnisse im Smartphone des Partners oder der Eltern verborgen sein könnten. Das Interesse daran, ein Handy abzuhören oder auszuspionieren, ist riesig. Google gibt mehr als eine Million Suchergebnisse zu entsprechenden Begriffen aus.
Was viele jedoch nicht wissen oder vielleicht auch nicht wissen wollen ist, dass das Abhören und Ausspionieren eines Handys höchst illegal und strafbar ist. Sollte man dies tun und erwischt werden, drohen bis zu 3 Jahre Freiheitsstrafe. In diesem Zusammenhang stellt Torben auch nochmal klar, dass die Handys, die er in seinem Selbstexperiment ausspionieren und hacken wird, seine eigenen sind.
Spionage-App mSpy
Mit etwas Recherche ist Torben recht schnell auf einige Apps aufmerksam geworden. Viele geben sich selbst das Image eine Überwachungsapp für die eigenen Kinder sein zu wollen. Andernfalls würde es einige dieser Apps vermutlich nicht einmal in den App Store oder Google Play Store schaffen und direkt gesperrt werden.
Die erste App, die sich Torben genauer ansieht, ist “mSpy”. Diese App versucht ebenfalls das Image einer Überwachungsapp für Kinder zu etablieren, in dem Werbevideo befinden sich die Charaktere jedoch eher in einer Beziehung und es wird gezeigt, wie leicht es ist, den jeweils anderen auszuspionieren. mSpy behauptet von sich selbst die beste Mobiltelefonverfolgung “für die Kindersicherung” zu sein. Es wird mit Sätzen wie “Schluss damit, sich nur auf eine Vermutung zu verlassen.” geworben. Der Funktionsumfang erstreckt sich über das Mitlesen von Nachrichten, das Anzeigen von Anrufprotokollen und der Kontaktliste, Verfolgung des Standorts, sowie Standortverläufe, Anzeigen der Apps für soziale Medien wie Snapchat, Instagram und Facebook, aber auch Messenger-Apps wie WhatsApp und Telegram. Die Überwachungsapp soll angeblich auf jedem Smartphone laufen können, unabhängig des Betriebssystems, sämtliche iPhones, iPads und Android-Geräte werden unterstützt. Und da kein App-Symbol angezeigt wird, bleibt man angeblich zu 100% unsichtbar.
Die Website von mSpy wirbt unter anderem mit einem Forbes Artikel. Schaut man sich diesen an und versucht zu dem Autor “Harold Stark” noch weitere Artikel zu finden, stellt man fest, dass dieser Autor nicht mehr existiert und seine Seite bei Forbes entfernt wurde. Auch bei anderen Artikeln, die mSpy auf der Website verlinken, findet man in der Regel keine Informationen oder weitere Artikel von den jeweiligen Autoren.
Schaut man sich die Bewertungen an, sieht man, dass die jüngeren Bewertungen nur noch im Mittelmaß liegen, während zuvor nahezu alle Bewertungen immer perfekt waren.
Trotzdessen schaut Torben sich die App genauer an und zahlt zum Zeitpunkt des Selbstexperiments ungefähr 16 Euro für drei Monate. Nach dem Kauf lädt man sich die Spionage App herunter und kann sich in das Dashboard einloggen. Anschließend muss das Zielhandy mit dem mSpy Account verbunden werden, wofür mSpy dem Nutzer alle möglichen Infos gibt, welche Einstellungen aktiviert oder deaktiviert werden müssen. Torben stellt in seinem Test allerdings fest, wenn das Zielhandy ein iPhone sein sollte, dass man den Zugriff zur iCloud benötigt, da sonst ein Großteil der Spionagefunktionen entfällt. Er erklärt aber auch, dass selbst mit iCloud Zugang viele Funktionen fehlerbehaftet waren.
Und dennoch einen möglichst vollumfänglichen und transparenten Test durchzuführen, hat Torben sich dazu entschieden, 2 Android-Geräte zu nutzen. Dafür verwendete er einmal ein Huawei P30 Pro und ein Samsung Galaxy S21 FE. Bei mSpy zahlt man zudem für jedes Gerät zusätzlich. Die Geräte können jedoch laut dem Betreiber innerhalb des aktiven Abonnements gewechselt werden, ohne dass ein zusätzliches Abo abgeschlossen werden muss.
Um die Spionage-App auf einem Android-Gerät zu installieren, muss zuvor Googles Play Protect deaktiviert und über einen Link die Installationsdatei von mSpy aus dem Internet heruntergeladen und installiert werden. In Torbens Test öffnete sich sofort nach der Installation ein Warnhinweis zu dem Sicherheitsrisiko. Diesen Warnhinweis kann man jedoch ignorieren. Anschließend muss der “Framework Update Service” aktiviert und der Zugriff auf Kontakte, Anrufliste, Standort, Daten, SMS, Screen Recording, Social Media Apps und die Anrufüberwachung erlaubt werden. In der mSpy App auf dem Zielgerät kann anschließend noch ein Slider betätigt werden, der die App unsichtbar auf dem Zielgerät macht und die Deinstallation verhindert. So langwierig dieser Prozess auch klingen mag, das alles dauert lediglich 30 bis 45 Sekunden. Zum Abschluss muss man noch einen Registrierungscode bestätigen und damit ist das Zielgerät mit mSpy und dem eigenen Dashboard verknüpft.
Torben erklärt, dass man direkt im Anschluss sofort die gesamte Kontaktliste mit allen hinterlegten Informationen sieht. Auch die aktuelle Anrufliste ist sofort abrufbar. Sämtliche Textnachrichten können eingesehen werden. Selbstverständlich sieht man auch, von wem diese Nachrichten kommen, inklusive Datum und Uhrzeit. Es werden sämtliche installierten Apps angezeigt und auch die im Handy gespeicherten WLAN-Netzwerke werden dargestellt. Den ungefähren Standort dieser Netzwerke kann man sich mit einem Klick auf Google Maps anzeigen lassen. Und mit der Zeit werden auch sämtliche Fotos und Videos vom Handy heruntergeladen und können angesehen werden.
Der Standort des Handys wird in der Standardeinstellung alle 5 Minuten via GPS abgefragt und bei mSpy für einen Standortverlauf gespeichert. Die für Torben aber interessantesten Funktionen sind der Screen Recorder und der Keylogger. Der Screen Recorder startet jedes Mal automatisch, wenn der Nutzer des Zielgerätes Social Media Apps wie Instagram oder Messenger-Apps wie WhatsApp öffnet. Der Keylogger wiederum läuft immer dann, sobald am Zielgerät etwas eingetippt wird.
Die mSpy Überwachung beginnt
Als Torben nach 24 Stunden die Überwachung des Zielhandys startet, kann er bereits sagen, dass die Standortüberwachung einwandfrei funktioniert. Sämtliche Standortdaten seit Installation der App sind abrufbar. Es wird ein Protokoll erstellt und mit einem Klick kann er sich jeden der Standorte bei Google Maps ansehen.
Die privaten Chats in Snapchat werden jedoch nicht angezeigt, obwohl Torben mit dem Zielgerät noch am Abend davor, natürlich nach Installation der Spionage-Aapp, via Snapchat geschrieben hat.
Die Fotos wiederum, die mit dem Handy gemacht wurden, werden jedoch angezeigt. Nachrichten von Instagram werden nur angezeigt, wenn sie nach der Installation empfangen oder versandt wurden. Der Chatverlauf vor der Installation wurde also nicht synchronisiert. Der WhatsApp Chat wird auch angezeigt, allerdings hat das Screen Recording zu eben diesen Nachrichten scheinbar auch nicht geklappt.
Die Übersicht der installierten Apps funktioniert dafür jedoch einwandfrei. Torben hat über das Dashboard von mSpy sogar die Möglichkeit, Apps für die Nutzung zu sperren. Ebenso kann er nach Belieben verschiedene Websites sperren, die dann über die Browser-Apps nicht mehr aufgerufen werden können.
Das gefährlichste Feature von mSpy ist jedoch eindeutig der Keylogger. Der Keylogger funktioniert einwandfrei und leitet alles, was am Zielgerät eingegeben wird, an das Dashboard weiter. In dem Selbstversuch wurden verschiedene Testnachrichten, aber auch ein Passwort eingetippt, welches im Dashboard genau so angezeigt wird. Und während der Chatverlauf für beispielsweise Snapchat nicht angezeigt werden konnte, sieht man diesen im Keylogger. Praktischerweise wird dort angezeigt, in welcher App man die entsprechende Nachricht getippt hat. Durch den Keylogger wäre es daher auch möglich, die Anmeldedaten der Bank-App abzugreifen.
Wenn Torben sich in die Lage versetzt, wie jemand zu denken, der eine vollständige Handyüberwachung durchführen möchte, fällt ihm auf, dass zwei wichtige Funktionen fehlen. Erstens möchte er die Zielperson ja wirklich “abhören”, Telefonate aber auch Gespräche vor Ort belauschen können. Und zusätzlich würde er gern auch die Frontkamera des Zielgeräts öffnen können. Diese Funktionen bietet mSpy jedoch nicht, weshalb er sich noch eine weitere Spionage-App genauer ansehen möchte.
Spionage-App SpyBubble
Im Gegensatz zu mSpy ist SpyBubble deutlich preisintensiver. Ein einzelner Monat kostet rund 50 Euro. Dafür kann auf Android-Geräten mit SpyBubble ein Audiostream gestartet werden, aber auch Kamera-Snapshots und Videostreams sind möglich.
SpyBubble ist jedoch nicht einfach in den App Stores zu finden, sondern muss über das Internet als Installationsdatei heruntergeladen werden. Torben erzählt zudem, dass sein Bankunternehmen die Abbuchung des Monatspreises von SpyBubble aus Sicherheitsgründen abgelehnt hat. Er musste die Abbuchung manuell freischalten und erneut ausführen.
Nach Installation der App musste den AGBs zugestimmt und der Keylogger freigegeben werden. Danach startet die App eine Art “Auto Installation” und gibt sich selbst alle notwendigen Rechte und führt die restlichen Installationsschritte selbstständig aus. Zum Schluss muss lediglich noch ein Popup bestätigt werden, damit die Bildschirminhalte aufgezeichnet und projiziert werden dürfen.
Nutzt man bei SpyBubble nun die Funktion um ein Foto aufzunehmen, erscheint bei dem neueren der beiden Testhandys für einen kurzen Moment das Kamerasymbol am oberen Rand, bei dem älteren Handy, was kein entsprechendes Icon besitzt, passiert die Fotoaufnahme dadurch unbemerkt.
Beeindruckend war zudem die Audio-Aufnahme. Torben hat diese aktiviert und einfach in den Raum gesprochen, während er sich bis zu 4 Meter vom Handy entfernt und sogar den Raum verlassen hat. Trotzdem war die Tonqualität perfekt verständlich. Private Gespräche können somit definitiv belauscht werden, ohne dass das Handy möglichst nahe an den Opfern sein muss.
Versucht man mit SpyBubble einen Videostream zu starten, öffnet sich für einen kurzen Moment am Handy ein Fenster. Torben ist dies jedoch erst aufgefallen, als er die Bildschirmaufnahme des Handy geprüft hat. Hätte das Opfer des überwachten Smartphones also nicht ganz genau in dem richtigen Moment hingeschaut, wäre dies vermutlich auch nie aufgefallen.
Fazit
Dem Teamkollegen von Torben, der die überwachten Handys absichtlich für das Experiment genutzt hat, um dieses überhaupt erst möglich zu machen, sind bei der Überwachung mit mSpy drei Dinge aufgefallen. Er hatte das Gefühl, dass sich der Akku des Smartphones schneller entlädt, konnte dies aber nicht mit voller Überzeugung sagen. Da er natürlich wusste, dass dieses Handy ausspioniert wird, könnte es also sein, dass er lediglich mehr auf den Akku geachtet hat. Aber natürlich ist es durchaus plausibel, dass sich der Akku schneller entlädt, da ja im Hintergrund die ganze Zeit die mSpy-App läuft.
Zusätzlich ist ihm während der Überwachung aufgefallen, dass 2 Icons in der Leiste am oberen Rand aufgetaucht sind. Zum einen das Standort Icon und zum anderen das Icon für den Screen Cast. Einen Hinweis, dass eine schädliche App auf dem Handy installiert ist, hat er jedoch nicht proaktiv erhalten. Erst als er selbst nach Googles Play Protect geschaut hat, wurde ihm angezeigt, dass Play Protect deaktiviert ist und sich eine schädliche App auf dem Smartphone befindet.
Bei SpyBubble lässt sich festhalten, dass die Video- und Audiostreams nur funktionieren, wenn das Handy entsperrt ist. Sollte das Handy gesperrt sein, versucht SpyBubble noch über einen gewissen Zeitraum von rund 7 bis 10 Minuten den Stream zu starten. Wird das Handy in dieser Zeit entsperrt, wird der Stream direkt gestartet. Wird das Handy während dieser Streams wieder gesperrt, brechen die Aufnahmen und Übertragungen schnell ab. Bei einem Videostream passiert das in etwa 2 bis 3 Sekunden, bei Audiostreams dauert der Abbruch ungefähr 10 Sekunden. Die Streams brechen darüber hinaus ebenfalls ab, wenn ein Telefonat eingeht.
Torben hat diesbezüglich beim Support von SpyBubble nachgefragt und ihm wurde mitgeteilt, dass der Streamabbruch bei einem Telefonat gewollt ist, weil dies illegal und nur der Regierung bzw. Strafverfolgungsbehörden vorbehalten sei. Wobei man natürlich ehrlicherweise sagen muss, dass sämtliche Funktionen der Spionage-Apps illegal sind, sofern sie ohne Wissen und Einverständnis des Handybesitzers zum Einsatz kommen.
Die Erkenntnisse aus Torben Platzers Experiment sind ein ernüchternder Weckruf für alle Smartphone-Nutzer. Die Verantwortung für die eigene digitale Sicherheit liegt in hohem Maße bei den Nutzern selbst. Eine gründliche Überprüfung der Berechtigungen für Apps, regelmäßige Updates und eine gesunde Skepsis gegenüber unbekannten Programmen können dabei helfen, das eigene Smartphone vor ungewollten Eingriffen in die Privatsphäre zu schützen. Es ist höchste Zeit, sich der digitalen Spuren, die wir hinterlassen, bewusst zu werden und entsprechende Maßnahmen zu ergreifen.