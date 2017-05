Für Elizabeth Segarra war es ein Schock, als Tobias Schrödel bei ihr zu Hause klingelte und die 23-Jährige mit Bildern ihres kleinen Sohnes konfrontierte. Der ihr völlig fremde Mann war im Besitz der Bilder, weil er sich Zugriff auf den WhatsApp-Speicher der jungen Mutter verschafft hatte. Unser stern TV-Experte Tobias Schrödel will damit zeigen: So wie viele andere WhatsApp-Nutzer wägte auch Elizabeth Segarra sich und ihre Daten in Sicherheit. Immerhin werden sie über den Messenger-Dienst mittlerweile doch hochverschlüsselt versendet. Oder nicht? Tatsächlich gibt es bei WhatsApp auf Android-Handys eine undichte Stelle: "Sobald die Dateien - wie Bilder, Videos, Dokumente und Sprachnachrichten - auf dem Android-Smartphone gespeichert werden, sind sie unverschlüsselt", erklärt Tobias Schrödel. Und diese unverschlüsselten Fotos oder Videos können auch von anderen Apps benutzt werden, wenn sie die Berechtigung dafür bekommen. Bildbearbeitungs-Apps beispielsweise erlauben wir das natürlich, eben allen Apps, die mit den entsprechenden Dateien arbeiten. Doch aufgepasst! Auch Betrüger verschaffen sich Zugriff auf die Dateien. Durch so genannte Fake-Apps. "Fake Apps gaukeln einem vor, von irgendeinem bekannten Hersteller oder ein bekanntes Spiel zu sein", erklärt der IT-Experte. "In Wahrheit sind sie aber von Betrügern programmiert worden, die dann Daten klauen oder teure 0900-Nummern anrufen und den ahnungslosen Nutzer so abzocken."

dm-Produkt-Tester-App entpuppt sich als betrügerische Abzocke

Josefine Vondenhoff wurde Opfer einer solchen Fake-App. Sie stieß bei Facebook auf eine vermeintliche App der Drogeriemarkt-Kette dm. Die Werbung versprach ihr kostenlose Produkttests. Die 35-Jährige sollte sich über einen Link auf der dazugehörigen Website die App herunterladen und auf dem Handy installieren. "Ich habe mir dabei nichts gedacht, weil ich auch das dm-Logo sehen konnte. Die Seite sah seriös aus, man konnte die Markenlogos sehen – das sah für mich absolut schlüssig aus", erzählt Josefine Vondenhoff.Für Tobias Schrödel ist diese nachgebaute dm-Produkttester-Website ein Beispiel dafür, mit welcher Dreistigkeit die Betrüger heutzutage Internetseiten kopieren oder imitieren. "Bei der dm-Fake App ist es tatsächlich so, dass jemand die eigentlich originale Produkttester-Seite von dm sehr, sehr gut nachgebaut hat. Und zwar, indem er sich ganz viele Bilder und auch Texte dort geklaut hat."

Josefine Vondenhoff ahnte nicht, dass die Drogeriekette ihren Produkttester-Service, den es ja tatsächlich gibt, gar nicht als App anbietet. Die Folge: Über versteckte Funktionen der App kauften die Betrüger ihrem Namen im Internet ein. "Ich habe mit meinem 60 Euro-Schaden noch sehr viel Glück gehabt", sagt die 35-Jährige. Sie habe von anderen gehört, die über dieselbe Fake-App 500 Euro oder mehr verloren haben. Josefine Vondenhoff hat die App umgehend von ihrem Handy gelöscht.

Was hat es mit der dm-Produkttester-App auf sich? stern TV ist bei der Recherche unter anderem auf die dm-Produkt-Tester-App gestoßen. Die Drogeriekette bietet Kunden zwar an, Produkttester zu werden, sie hat aber keine entsprechende App auf den Markt gebracht. Es handelte sich um eine Fake-App, die Betrüger programmiert hatten, um ahnungslose Kunden abzuzocken. Der Link zu einer falschen Produkttester-Website kursierte vor allem in sozialen Netzwerken. Die Website war täuschend echt nachgebaut, mit gestohlenen Logos und Designs der Marke dm. "Da hat tatsächlich jemand die originale dm-Produkttester-Seite sehr, sehr gut nachgebaut. Und zwar, indem er sich ganz viele Bilder und auch Texte dort geklaut hat", sagt IT-Experte Tobias Schrödel. Auf dieser imitierten dm-Seite unter dem perfiden Link dm-produkt-tests.de wurden die Nutzer dazu aufgefordert die Fake-App direkt auf das Smartphone herunterzuladen. Besonders dreist: Das angegebene Impressum auf jener gefälschten Seite verlinkte auf das Original-Impressum der Drogerie-Kette. Die Nutzer hatten also kaum eine Chance, den Betrug zu erkennen. Wer die Fake-App dm-Produkt-Tester einmal auf seinem Handy hatte, wurde quasi unmerklich abgezockt. Noch dazu verlangte diese Fake-App von den Nutzern angeblich "keine besonderen Zugriffe" - erlaubte sie sich aber trotzdem. Eines der Opfer: Josy Vondenhoff. Ihr Handy empfing nachts von ihr unbemerkt SMS mit Codes für Online-Bestellungen. Die Betrüger-App kaufte also selbständig auf Josys Kosten im Internet ein. Einige Opfer dieser Fake-App verloren so mehrere Hundert Euro. Die Drogeriekette dm hat sich von dieser App bereits klar distanziert. Nachdem der Betrug durch die gefälschte App aufflog, wurde die Website gelöscht. Das bedeutet aber nicht, dass nicht bald schon andere, ähnliche Fake-Apps im Internet kursieren.





Fake-Apps kommen zu einfach in Umlauf

Immer wieder tauchen solche Fake-Apps auf – sowohl auf Internetseiten, als auch – in seltenen Fällen – in den offiziellen App-Stores. Wie im Fall von Josefine Vondenhoff wollen die Betrüger entweder direkt Geld machen, oder aber sensible Daten klauen. In Deutschland werden jedes Jahr milliardenfach Apps geladen, jeder Smartphone-Nutzer hat durchschnittlich 33 Apps auf seinem Smartphone. Für Kriminelle ist das mittlerweile ein riesen Markt, weiß auch Tobias Schrödel: "Da das Programmieren und Einstellen von Apps keine große Hürde ist, passiert sowas tagtäglich und man findet immer wieder neue Fake-Apps und Leute die drauf reinfallen."

Der IT-Experte hat für stern TV einen Test gemacht und selbst eine App programmiert mit dem Namen "Partys München". Was die App noch brauchte, waren Downloads und positive Bewertungen, die Schrödel einfach für je 34 Cent kaufen konnte. So gehen auch Betrüger vor. Und auch bei unserer "Partys München"-App stieg die Downloadzahl. Was nicht auffiel: Die neuen Nutzer, die die positiven Bewertungen abgegeben haben sollen, stammen aus Indien. Mit Partys in München haben die wohl eher nichts zu tun. Und Tobias Schrödel ging – wie viele Betrüger – noch weiter: "Weil eine neu programmierte App natürlich nicht automatisch zehntausende Downloads bekommt, mussten wir sie pushen, indem wir auf Facebook einfach Werbung geschaltet haben. Das führte dazu, dass plötzlich wirklich viele Leute unsere App geladen haben."

Die Fake-App "Partys München" nutze die beschriebene Sicherheitslücke bei WhatApp auf Geräten mit Android-Betriebssystem. Dadurch kommen nicht nur Kriminelle, sondern auch Tobias Schrödel an sensible Daten im Speicher, weil die Nutzer der App bei der Installation sorglos die Berechtigung erteilt haben.

Zusammenfassung Das Problem mit dem WhatsApp-Speicher Die über WhatsApp gesendeten Textnachrichten werden zwar verschlüsselt auf der SD-Karte gespeichert. Dieser Schutz gilt aber nicht gleichermaßen für Bilder, Videos, Sprachnachrichten und Dokumente: WhatsApp für Android speichert sowohl empfangene, als auch gesendete Mediendaten unverschlüsselt auf der SD-Karte in einem ungeschützten Bereich. Jede andere App, die die Erlaubnis für den Zugriff auf die SD-Karte hat, kann alle dort gespeicherten Mediendaten auslesen, löschen oder manipulieren.



Bei WhatsApp für iOS (z.B. iPhone) hingegen werden empfangene Dateien in einem geschützten Bereich gespeichert, auf den andere Apps keinen Zugriff haben. Nur wer bei WhatsApp eingestellt hat, dass empfangene Videos und Bilder automatisch in der Fotobibliothek landen, ermöglicht anderen Apps unter Umständen den Zugriff. Das lässt sich jedoch in den Einstellungen abschalten.





Dank der vielen User, die die Fake-App von Tobias Schrödel installiert haben, wäre es ein Leichtes, unzählige, sehr persönliche Fotos und Videos aus dem WhatsApp-Speicher abzugreifen, wie Tobias Schrödel demonstrierte. Eine der Nutzerinnen von "Partys München" war Elizabeth Segarra. Die 23-Jährige war von seinem Besuch mehr als überrascht. "Das sind Bilder von meinem Sohn", so die Frau schockiert. "Also habe ich ihn einer Gefahr ausgesetzt." Die Fake-App hatte nicht nur die Bilder aus dem WhatsApp-Speicher übertragen, sondern dem IT-Experten auch Elizabeth Segarras Telefonnummer und Adresse. Die Mutter hatte bei der Installation der App die Berechtigung erteilt auf sämtliche Inhalte ihres Handys zugreifen zu dürfen. "Und weil das bei jeder App kommt, klicken viele Leute einfach weiter-weiter-weiter. Doch das ist ein großer Fehler", warnt Tobias Schrödel. "Es lohnt sich, genau zu hinzugucken – und zu überlegen, ob diese spezielle App mit ihrer Funktion überhaupt die Berechtigungen braucht, die sie haben will."

Wie kann man sich konkret schützen?



Tipp 1: Dateien aus WhatsApp nicht mehr automatisch speichern

Wer als Android-Nutzer sichergehen will, dass im Speicher keine allzu privaten, sensiblen Dateien, Fotos oder Videos automatisch landen, kann in den Einstellungen die Funktion "automatisch laden" deaktivieren. Allerdings werden empfangene Fotos und Videos dann bei WhatsApp auch nicht mehr als Vorschau angezeigt. Lediglich, dass etwas angekommen ist. Die Entscheidung, ob etwas gespeichert werden soll, kann man aber auch im Nachhinein fällen. Sie können die Dateien mit einem Fingerklick herunterladen und begutachten. Wenn Sie dann feststellen, dass das Bild "problematisch" ist, können Sie es aus der Timeline in WhatsApp löschen – dann ist es sowohl aus der Foto-App gelöscht, als auch in dem vermeintlich ungeschützten WhatsApp-Medienverzeichnis.

Tipp 2: Alle Apps auf Zugriffsrechte überprüfen

Am Wichtigsten ist es, bei der Installation (und auch im Nachhinein) zu überprüfen: Welchen Berechtigungen muss ich bei dieser App zustimmen. Sobald Sie die Berechtigung "auf Speicher zugreifen" bestätigen, darf die App die ungeschützten Dateien, Fotos und Videos auf Ihrer Speicherkarte benutzen. Das machen sich vor allem Fake-Apps zunutze.



Antworten von unserem Sicherheitsexperten Tobias Schrödel auf die wichtigsten Fragen

Was sind Fake-Apps?

Fake-Apps tarnen sich meist, indem sie vermeintlich attraktive Funktionen bieten oder so tun, als ob sie von seriösen, beliebten Marken oder Spieleherstellern stammen. In Wirklichkeit bieten sie aber kaum oder gar keine Funktionen. Stattdessen wollen sie Daten vom Handy des Nutzers ziehen. Oder sie kosten etwas, schließen unbemerkt teure Abos per SMS ab – und spülen den Betrügern so Geld in die Kasse. "Fake Apps gaukeln einem vor, von irgendeinem bekannten Hersteller zu sein oder ein bekanntes Spiel zu sein", so Tobias Schrödel. "In Wahrheit sind sie aber von Betrügern programmiert worden, die dann Daten klauen oder teure 0900-Nummern anrufen und den ahnungslosen Nutzer so abzocken."

Die offiziellen App-Stores sind darauf bedacht, Fake-Apps früh zu erkennen und zu eliminieren. Insbesondere wenn Markenrechte verletzt werden. Deshalb kursieren Fake-Apps meist als direkte Download-Links im Internet, über Werbung oder in den sozialen Netzwerken wie zum Beispiel Facebook. Fake-Apps gibt es hauptsächlich für Android.

Woran erkenne ich Fake-Apps?

Wer nachdrücklich darauf hingewiesen wird, dass die betreffende App über die Website und nicht über einen App-Store heruntergeladen werden soll, "da müssen die Alarmglocken angehen", sagt Tobias Schrödel.

Man solle stets hinterfragen, aus welcher Quelle eine App kommt. Wer ist der Anbieter? Gibt es sie auch im App-Store? Und ist sie dort schon seit längerer Zeit, nicht erst seit Kurzem? Gibt es schon mehrere Bewertungen aus einem längeren Zeitraum, oder nur wenige aus den letzten Tagen, die von ähnlich klingenden Accounts verfasst wurden und gefakt sein könnten? Tobias Schrödel räumt aber auch ein: "Manche Angriffe von Fake-Apps sind geradezu grandios programmiert und schauen so echt aus, dass es für Laien wirklich schwierig ist, sie zu erkennen und alles richtig zu machen."

Wie schütze ich mich vor einem Datenklau von Fake-Apps?

"Bei jeder App muss man bestätigen, welche Berechtigungen sie hat. Weil das bei jeder App mehrmals kommt, klicken viele Leute einfach weiter-weiter-weiter. Doch das ist ein großer Fehler. Es lohnt sich, genau zu hinzugucken – und zu überlegen, ob diese App mit ihrer Funktion überhaupt die Berechtigungen braucht, die sie haben will. Wenn beispielsweise eine Taschenlampen-App, die nur das Kameralicht in eine Taschenlampenfunktion wandelt, außerdem noch auf mein Telefonbuch und anderes zugreifen, dann muss man sich fragen, ob das sinnvoll ist", so Schrödel. Fake-Apps arbeiten mit dem Wissen, dass Nutzer allen möglichen Berechtigungen zustimmen, nur um schnell weiterzukommen.

Was, wenn ich bereits eine Fake-App auf dem Handy habe?

"Leider gibt es bei einigen Fake-Apps nicht den naheliegenden Weg, sie einfach zu löschen", sagt Tobias Schrödel. "Das hängt immer davon ab, wie sich die App im System eingenistet hat. Ich rate dazu, im das Problem oder den App-Namen in eine Suchmaschine einzugeben. Oft waren schon andere Nutzer betroffen und es gibt Anleitungen, wie man die jeweilige Fake-App wieder loswird. Im schlimmsten Fall muss man das Handy auf Werkseinstellungen zurücksetzen. Ich rate aber grundsätzlich dazu: Wer sich gerne Apps runterlädt und ausprobiert, sollte die, die einem nicht gefallen oder nicht das bieten, was man sich erhofft hat, gleich wieder löschen. Sie sollten nicht als "Karteileichen" weiter auf dem Handy verbleiben. Was nämlich noch auf dem Handy drauf ist, läuft auch noch!"

Warum werden die Dateien bei WhatsApp ungeschützt gespeichert?

Die Nachrichten und Anrufe können seit Einführung der so genannten Ende-zu-Ende-Verschlüsselung 2016 bei WhatsApp nur noch von Sender und Empfänger entschlüsselt und gelesen werden. Doch für Android-Nutzer gibt es weiterhin diese Unsicherheit: Empfangene Dateien werden automatisch entschlüsselt in einem ungeschützten Speicher auf der SD-Karte des Handys abgelegt.

Das Problem wäre gelöst, wenn WhatsApp dafür sorgen würde, dass die Mediendaten beim Speichern auf der SD-Karte des Smartphones verschlüsselt werden oder in einem geschützten Bereich der WhatsApp-App gespeichert würden. Doch WhatsApp lehnt das ab, weil es für die Nutzer unpraktisch wäre. Sie müssten nämlich beim Zugriff auf ihre Fotos oder Videos ein zusätzliches Passwort eingeben. "Für die Programmierer sollte das eigentlich kein Problem sein, die Daten verschlüsselt abspeichern zu lassen. In der heutigen Zeit gehört das nachgebessert", sagt Tobias Schrödel dazu. "Und ich hoffe, dass WhatsApp das auch bald tut."