Paket-Tracker-App nutzt iPhones als Botnetzwerk: Dürfen die das?

Holger Eilhard 2

Viele von euch dürften beim Hören des Begriffs „Botnetzwerk“ uralte, graue PCs im Kopf haben, die seit Jahren keine Sicherheitsupdates erhalten haben. Doch auch das iPhone kann Teil eines derartigen Netzwerks sein, wie ein aktueller Bericht zeigt.

Paket-Tracker-App nutzt iPhones als Botnetzwerk: Dürfen die das?

Parcels: App nutzt iPhones zum Tracking fremder Pakete

Entwickler Guilherme Rambo berichtet für 9to5Mac über den kostenlosen Paket-Tracker „Parcels - Sendungsverfolgung“ von Entwickler Pavel Tisunov, nicht zu verwechseln mit der App „Parcel“ (Singular). Die betroffene App „Parcels“ (Plural) erfreut sich im App Store großer Beliebtheit und hat aktuell 4,7 Sterne. Eine Android-Version ist ebenfalls verfügbar, eine Analyse dieser gibt es aber bislang nicht.

Laut Rambo nimmt die App bereits direkt nach der Installation Verbindung mit diversen Servern auf, um den Status von Lieferungen fremder Nutzer abzurufen. Dies geschieht laut dem Bericht schon dann, wenn man selbst noch keine eigenen Paketinformationen hinterlegt hat. Es werden also die Details zu Paketen anderer Anwender über das eigene Gerät geladen. Dazu nutzt die App unter anderem die offiziellen Schnittstellen (APIs) der Lieferunternehmen. Sind diese nicht vorhanden, werden in anderen Fällen aber auch normale Webseiten geladen, um diese zu analysieren.

Diese Art und Weise qualifiziert Rambo als Botnetzwerk, da jedes Gerät auf dem die App installiert ist, zu einem Bot wird und auf die Befehle wartet, welche Pakete getrackt werden sollen. Hinzu kommt, dass diese Daten laut dem Bericht im Klartext übertragen werden, was ein einfaches Mitlesen der Kommunikation ermöglicht. Innerhalb einer Stunde konnte Rambo 52 Tracking-Anfragen von unbekannten Nutzern abfangen.

iOS 12 bietet eine Reihe von interessanten Neuerungen, ein integrierter Paket-Tracker gehört jedoch nicht dazu - vielleicht eine weitere Idee für iOS 13?

Bilderstrecke starten
12 Bilder
iOS 13: Geniales Konzept lässt unsere Herzen höher schlagen.

iPhone wird zum Botnetz-Teilnehmer: Unklarheit über die Gründe

Über die Gründe, warum der Entwickler zu derartigen Methoden gegriffen hat, kann derzeit nur spekuliert werden. Infrastrukturkosten, etwa zum Betrieb der Server, sind es laut dem Bericht eher nicht. Die App benötigt in jedem Fall eine Anlaufstelle, um nach den Befehlen zu fragen und ein Betrieb von Servern ist heutzutage relativ günstig.

Rambo vermutet hingegen, dass der Entwickler versucht sich gegen etwaige Blockaden (rate-limiting) durch die Lieferunternehmen beziehungsweise deren Server zu wehren. Da die Anfragen nicht immer von derselben Quelle kommen, sondern von vielen verschiedenen Geräten der einzelnen Nutzer, ist die Gefahr für den Entwickler geringer, von den Unternehmen ausgesperrt zu werden.

Durch diese Hintergrundaktivitäten, die auch dann stattfinden, wenn man keine eigenen Paketinformationen hinterlegt hat, leidet dann auch der eigene Akku. Hinzu kommen etwaige Kosten für die Datenübertragung im Mobilfunknetz und eine reduzierte Performance, wenn das eigene iPhone im Hintergrund Aufgaben für fremde Anwender übernimmt.

Laut Rambo verstößt die App damit gegen Regel 2.4.2 von Apples App Review Guidelines. Diese besagt, dass Apps „keine unzusammenhängenden Hintergrundprozesse ausführen dürfen“. Hinzu kommt der problematische Datenschutz, da Informationen fremder Personen im Klartext über das eigene iPhone verschickt werden.

Mögliche Gefahren durch die App

Der Bericht nennt des Weiteren aber auch eine Reihe von potentiellen Gefahren, die von der App ausgehen können, wenn sie von genügend Anwender genutzt wird. So könnte die App in Zukunft beispielsweise dazu genutzt werden, um DDoS-Angriffe gegen Webseiten durchzuführen. Der Entwickler könnte die iPhones dazu befehligen beliebige Seiten aufzurufen, die nichts mit dem Paket-Tracking zu tun haben. Aber auch ein Klick-Betrug durch die App ist denkbar, in dem sie Werbebanner aufruft.

9to5Mac hat die App bei Apple gemeldet. Eine Reaktion gibt es derzeit noch nicht und die App ist weiterhin im App Store verfügbar.

Zu den Kommentaren

Kommentare zu dieser News

Weitere Themen

* Werbung