Eine russische Software-Firma gab sich laut Reuters als US-Unternehmen aus und konnte so ihren Code in Tausenden von iOS- und Android-Apps einfügen, die von den offiziellen Download-Plätzen wie Apple App Store und Google Play heruntergeladen wurden. Unter den betroffenen Apps sind solche der US-Armee und der US-Seuchenbehörde. Auch in Apps, die von deutschen Unternehmen genutzt werden, befindet sich der Code des russischen Unternehmens. Insgesamt soll der Code von Pushwooh in fast 8000 Apps stecken.
Pushwoosh: Sitz eindeutig in Sibirien
Das Unternehmen heißt Pushwoosh. Laut Reuters ist dieses Unternehmen eindeutig in Russland ansässig, obwohl es versucht habe, sich als US-Unternehmen auszugeben. Laut Handelsblatt gab Pushwoosh als seinen Sitz Kalifornien, Maryland oder Washington DC (die Hauptstadt der USA) an. Doch tatsächlich liege der Hauptsitz des Unternehmens in Nowosibirsk (Sibirien, Russland). Dort seien etwa 40 Menschen beschäftigt, Pushwoosh ist bei russischen Behörden registriert und zahlt dort Steuern.
Last year, while conducting audits on SDKs installed in mobile apps for @SafeTechLabs, a popular SDK installed in thousands of apps called “Pushwoosh” started to raise some odd questions, was it secretly Russian? Reuters has an explosive story out today: https://t.co/vqytktKKlW??
— Zach Edwards (@thezedwards) November 14, 2022
Das Software-Development-Kit (SDK) und der Code von Pushwoosh befand sich in einigen Schulungsanwendungen der US-Armee. Als Reuters das US-Verteidigungsministerium im Juli 2021 darüber informierte, antwortete dieses zunächst nicht. Im März 2022 habe das US-Militär die Nutzung der Software dann aber eingestellt. Die US-Seuchenbehörde CDC entfernte den Code von Pishwoosh mittlerweile ebenfalls aus ihren Anwendungen. Die CDC sei zuvor davon ausgegangen, dass Pushwoosh seinen Sitz in Raum Washington DC habe.
Streit um Sitz von Pushwoosh
Der Gründer von Pushwoosh, Max Konev, soll in einer Mail an Reuters aber behauptet haben, dass er seine russischen Wurzeln nie versteckt habe. Andererseits behauptet Pushwoosh nach der Veröffentlichung des Reuters-Bericht, dass man nie zu einer Firma gehört habe, die in der Russischen Föderation registriert sei. Angeblich habe Pushwoosh die Zusammenarbeit mit einer Firma in Nowosibirsk im Februar 2022 beendet. Pushwoosh Inc. habe zuvor Teile der Produktentwicklung an das in dem Reuters-Artikel erwähnte russische Unternehmen in Novosibirsk ausgelagert. Die Datencenter von Pushwoosh würden in Nürnberg und in Washington DC stehen und nicht in Russland.
Doch Gizmodo wiederum berichtet, dass Pushwoosh sogar falsche Adressangaben und falsche LinkedIn-Profile verwendet habe, um den Anschein zu erwecken, dass das Unternehmen seine Unternehmenszentrale in den USA habe.
Die Dienstleistung, die Pushwoosh Softwareentwicklern anbietet, beschreibt das Handelsblatt folgendermaßen:
Das Sicherheitsunternehmen Internet Safety Labs (ISL) stufte das SDK von Pushwoosh im Jahr 2021 als "sehr hohes Risiko" ein.
Keine Hinweise auf Datenmissbrauch
Bisher gebe es keine Hinweise dafür, dass Nutzerdaten missbraucht wurden. Doch es lässt sich nicht ausschließen, dass Pushwoosh die gesammelten Daten an russische Behörden und Geheimdienste weitergeben musste.
Diese Apps sind betroffen
Reuters hat unter diesem Link eine lange Liste der Apps veröffentlicht, in denen Code beziehungsweise das SDK von Pushwoosh enthalten sein soll. Die Liste enthält sowohl Android- als auch iOS-Apps. Darunter auch einige, die von deutschen Unternehmen genutzt werden; beispielsweise für Pizza-Service-Anbieter. Prüfen Sie diese Liste daraufhin, ob Sie einige der betroffenen Apps verwenden. Gegebenenfalls sollten Sie diese dann deinstallieren.
Pushwoosh bietet Softwareentwicklern Unterstützung bei der Code- und Datenverarbeitung an. Sie können damit Profile von Online-Aktivitäten der Nutzern erstellen und so maßgeschneiderte Benachrichtigungen senden.
(PC-Welt)