Russischer Tracking-Code versteckt?

Prüfen Sie diese iOS- und Android-Apps

24.11.2022 von Hans-Christian Dirscherl
Ein russisches Software-Unternehmen gab sich als US-Firma aus und brachte seinen Code in rund 8000 Apps unter. Auch deutsche Apps sind darunter.
Pushwoosh
Foto: Pushwoosh

Eine russische Software-Firma gab sich laut Reuters als US-Unternehmen aus und konnte so ihren Code in Tausenden von iOS- und Android-Apps einfügen, die von den offiziellen Download-Plätzen wie Apple App Store und Google Play heruntergeladen wurden. Unter den betroffenen Apps sind solche der US-Armee und der US-Seuchenbehörde. Auch in Apps, die von deutschen Unternehmen genutzt werden, befindet sich der Code des russischen Unternehmens. Insgesamt soll der Code von Pushwooh in fast 8000 Apps stecken.

Pushwoosh: Sitz eindeutig in Sibirien

Das Unternehmen heißt Pushwoosh. Laut Reuters ist dieses Unternehmen eindeutig in Russland ansässig, obwohl es versucht habe, sich als US-Unternehmen auszugeben. Laut Handelsblatt gab Pushwoosh als seinen Sitz Kalifornien, Maryland oder Washington DC (die Hauptstadt der USA) an. Doch tatsächlich liege der Hauptsitz des Unternehmens in Nowosibirsk (Sibirien, Russland). Dort seien etwa 40 Menschen beschäftigt, Pushwoosh ist bei russischen Behörden registriert und zahlt dort Steuern.

Das Software-Development-Kit (SDK) und der Code von Pushwoosh befand sich in einigen Schulungsanwendungen der US-Armee. Als Reuters das US-Verteidigungsministerium im Juli 2021 darüber informierte, antwortete dieses zunächst nicht. Im März 2022 habe das US-Militär die Nutzung der Software dann aber eingestellt. Die US-Seuchenbehörde CDC entfernte den Code von Pishwoosh mittlerweile ebenfalls aus ihren Anwendungen. Die CDC sei zuvor davon ausgegangen, dass Pushwoosh seinen Sitz in Raum Washington DC habe.

Streit um Sitz von Pushwoosh

Der Gründer von Pushwoosh, Max Konev, soll in einer Mail an Reuters aber behauptet haben, dass er seine russischen Wurzeln nie versteckt habe. Andererseits behauptet Pushwoosh nach der Veröffentlichung des Reuters-Bericht, dass man nie zu einer Firma gehört habe, die in der Russischen Föderation registriert sei. Angeblich habe Pushwoosh die Zusammenarbeit mit einer Firma in Nowosibirsk im Februar 2022 beendet. Pushwoosh Inc. habe zuvor Teile der Produktentwicklung an das in dem Reuters-Artikel erwähnte russische Unternehmen in Novosibirsk ausgelagert. Die Datencenter von Pushwoosh würden in Nürnberg und in Washington DC stehen und nicht in Russland.

Doch Gizmodo wiederum berichtet, dass Pushwoosh sogar falsche Adressangaben und falsche LinkedIn-Profile verwendet habe, um den Anschein zu erwecken, dass das Unternehmen seine Unternehmenszentrale in den USA habe.

Die Dienstleistung, die Pushwoosh Softwareentwicklern anbietet, beschreibt das Handelsblatt folgendermaßen:

Pushwoosh bietet Softwareentwicklern Unterstützung bei der Code- und Datenverarbeitung an. Sie können damit Profile von Online-Aktivitäten der Nutzern erstellen und so maßgeschneiderte Benachrichtigungen senden.

Das Sicherheitsunternehmen Internet Safety Labs (ISL) stufte das SDK von Pushwoosh im Jahr 2021 als "sehr hohes Risiko" ein.

Keine Hinweise auf Datenmissbrauch

Bisher gebe es keine Hinweise dafür, dass Nutzerdaten missbraucht wurden. Doch es lässt sich nicht ausschließen, dass Pushwoosh die gesammelten Daten an russische Behörden und Geheimdienste weitergeben musste.

Diese Apps sind betroffen

Reuters hat unter diesem Link eine lange Liste der Apps veröffentlicht, in denen Code beziehungsweise das SDK von Pushwoosh enthalten sein soll. Die Liste enthält sowohl Android- als auch iOS-Apps. Darunter auch einige, die von deutschen Unternehmen genutzt werden; beispielsweise für Pizza-Service-Anbieter. Prüfen Sie diese Liste daraufhin, ob Sie einige der betroffenen Apps verwenden. Gegebenenfalls sollten Sie diese dann deinstallieren.

(PC-Welt)