Paket-Daten weitergereicht
Parcels: Botnet-Vorwurf gegen Paket-Tracking-App
Die Paket-Tracking-App Parcels, im deutschen App Store mit einer guten Bewertung von 4,6 Sternen versehen, muss sich zur Stunde mit massiver Datenschutz-Kritik befassen.
Die Anwendung, darauf hat der Entwickler Guilherme Rambo aufmerksam gemacht, nutzt die iOS-Geräte ihrer Anwender, um ihre Paketverfolgung technisch zu realisieren.
Statt den Paket-Status über zentrale Server abzufragen, verteilt Parcels die eingegebenen Paket-Informationen der Anwender einfach an die Geräte aller Nutzer und lässt diese anschließend den Status-Check auf den Seiten der Paket-Dienstleister ausführen.
Effektiv verwandelt die Parcels-App die Geräte ihrer Nutzer so in ein ferngesteuertes Botnet. Während sich der Betreiber, der russische Entwickler Pavel Tisunov, so momentan vor allem Serverkosten spart und mit Hilfe der Lastverteilung dafür sorgt, von Anbietern wie DHL, UPS und Co. nicht wegen einer Vielzahl unerlaubter Status-Abfragen blockiert zu werden, könnte die Infrastruktur langfristig auch für gezielte Angriffe genutzt werden. Guilherme kommentiert:
Wenn die App sehr populär werden würde, könnte sie sogar als Mittel zum Durchführen von DDoS-Angriffen auf Websites verwendet werden, indem dieser Mechanismus genutzt wird, der es dem Entwickler ermöglicht, jedes Gerät mit installierter App anzuweisen, eine Ziel-URL zu besuchen. Es kann auch verwendet werden, um auf Anzeigen zu klicken.
Der Mechanismus kann zudem durch einen Man-in-the-Middle-Angriff ausgenutzt werden, da die App keine HTTPS oder irgendeine Art von Validierung für die erhaltenen Anweisungen verwendet. Nochmals: Die App überträgt Informationen zu Paketen, die Ihnen nicht gehören, auf Ihrem Gerät in Klartext.
Die Anwendung wurde in der Vergangenheit schon mehrfach bei Apple gemeldet, bislang ist der Konzern jedoch nicht gegen die App eingeschritten. Zur Paketverfolgung empfehlen wir seit eh und je die Universal-Anwendung Lieferungen.
