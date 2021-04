Eine Fake-App machte sich das Vertrauen der Nutzer von iPhones und Android-Smartphones zu Nutzen - und stahl ihnen Millionen. Die Betroffenen sehen auch die Tech-Riesen in der Verantwortung.

Fremde nicht in die Wohnung lassen, am Telefon keine Verträge abschließen, keine Links in verdächtigen Mails anklicken - im Alltag sind die meisten Menschen durchaus bewusst, in welchen Momenten sie Vorsicht walten lassen sollten. Einige Besitzer von Kryptowährungen kostete nun ausgerechnet das Bedürfnis nach mehr Sicherheit ein Vermögen.

Er wollte seine Anlagen in Bitcoin sicher aufbewahren, erzählte Phillipe Christodoulou der "Washington Post". Deshalb packte er sie in eine sogenannte Hardware-Wallet, das ist vereinfacht gesagt eine Art USB-Stick, der die digitalen Währungen sicher vom Internet getrennt aufbewahrt. Als er seinen Bitcoin-Kontostand am Smartphone überprüfen wollte, kam dann der Schock: 17 Bitcoin im Wert von knapp 850.000 Euro waren gestohlen worden.

Falsches Vertrauen

Schnell war die Ursache ausgemacht: In den Kommentaren zu der fast glatt mit 5 Sternen bewerteten App warnten sich die Nutzer, dass es sich um eine Fälschung handelt, berichtet der Bestohlene. Tatsächlich habe der Hersteller der Hardware-Wallet, das Unternehmen Trezor, gar keine eigene Smartphone-App, bestätigte das Unternehmen gegenüber der Zeitung.

Nicht nur iPhone-Nutzer waren von den Betrügern herein gelegt worden, auch auf Googles System Android waren falsche Trezor-Apps aufgetaucht, auch hier wurden Bitcoin-Besitzer um ihre Ersparnisse gebracht. Wie viele Opfer es genau gibt, ist nicht bekannt, es seien aber mindestens fünf Betroffene mit einem iPhone und drei auf Android-Geräten bekannt, berichtet "Coinfirm". Und: Die gefälschten Apps wurden über beide Systeme insgesamt mindestens 2000 Mal heruntergeladen.

Wer ist Schuld?

Die Betrogenen sehen nun auch Apple und Google als mitschuldig, weil die Konzerne letztlich entschieden, welche Apps auf den Plattformen angeboten werden dürften. "Und wenn diese schändliche App es nun auf die Plattform schafft? Ich finde, dann ist Apple auch teilweise oder ganz daran Schuld", findet der ebenfalls bestohlene James Fajcz. "Sie haben mein Vertrauen in sie hintergangen", klagt auch Christodoulou. Versuche, über den Kundenservice sein Geld wiederzubekommen, seien bislang erfolgslos geblieben.

Möglich ist der Diebstahl durch die Funktionsweise der Hardware-Wallets. Die Sticks erlauben es, die digitalen Münzen offline aufzubewahren, erst wenn der Stick an einen Computer angeschlossen ist, lassen sie sich bewegen oder verkaufen. Um einen Verlust des Sticks abzusichern, kann man sich den Inhalt der Wallet aber auch mit einem speziellen Code, der sogenannten Seed-Phrase wiederherstellen. Viele Besitzer bewahren diese daher getrennt auf, etwa in ein Stück Metall eingraviert, damit sie auch Feuer überstehen kann. Die gefälschte App fragte die Besitzer des Trezors nun einfach nach deren Seed-Phrase - und erlaubte es den Betrügern so, die Wallets zu klonen und auszuräumen. Der Betrug funktioniert also nur, weil die Opfer die Wichtigkeit der Seed-Phrase nicht erkannt hatten und sie arglos weitergaben.

Ausgetricktse App-Plattformen

Dass die Apps überhaupt auf die Smartphones gelangten, liegt tatsächlich auch an den Anbietern der App-Plattformen. Eigentlich gelten im App Store besonders strenge Regeln für Kryptowährungs-Apps, nachdem diese 2014 eine Zeitlang sogar gar nicht zugelassen waren. Die gefälschte Trezor-App hatte die Sicherheitsmaßnahmen allerdings umgangen: Sie war zunächst als Verschlüsselungs-App für Dateien in den Zulassungs-Prozess eingereicht worden, die vermeintlichen Wallet-Funktionen waren erst in einem Update eingebaut worden. Das scheint nicht bemerkt worden zu sein. Bei Google waren indes gleich mehrere Fälschungen der App im Play Store aufgetaucht. Mittlerweile wurden die Abzock-Apps aber auf beiden Systemen entfernt.

Apple und Google wollten sich zu dem konkreten Fall auf Nachfrage der "Washington Post" nicht äußern. "Das Nutzervertrauen ist eine der Grundlagen, wegen denen wir den App Store geschaffen haben", erklärte ein Apple-Sprecher der Zeitung. Es sei in zahlreichen Studien nachgewiesen worden, wie sicher der App Store sei. "In den wenigen Fällen, in denen Kriminelle unsere Nutzer betrogen, sind wir schnell dagegen vorgegangen."

Ins Detail will aber keiner der Konzerne gehen. Fragen der Zeitung, welcher Entwickler hinter der App steht, ob er noch andere Apps anbietet und wie lange die App auf den Plattformen zu finden war, blieben sowohl bei Apple als auch bei Google unbeantwortet. Das könnte aber auch daran liegen, dass sich die Konzerne nicht zu laufenden Ermittlungen äußern wollen.

Die Betroffenen stehen indes im Regen. "Ich bin immer noch nicht darüber hinweg", klagt Christodoulou. Die 17 Bitcoin seien seine gesamten Ersparnisse gewesen. Er besuche nun einen Therapeuten, nehme Medikamente. "Das hat mich gebrochen."

Quelle:Washington Post