Drücken Sie Play, um diesen Artikel anzuhören
Westliche Sicherheitsberater warnen die Delegierten des COP27-Klimagipfels davor, die offizielle Smartphone-App der gastgebenden ägyptischen Regierung herunterzuladen, da befürchtet wird, dass sie dazu verwendet werden könnte, ihre privaten E-Mails, Texte und sogar Sprachgespräche zu hacken.
Politiker aus Deutschland, Frankreich und Kanada gehörten zu denen, die die App bis zum 8. November heruntergeladen hatten, so zwei separate westliche Sicherheitsbeamte, die über die Diskussionen innerhalb dieser Delegationen auf dem UN-Klimagipfel informiert wurden.
Andere westliche Regierungen haben Beamten geraten, die App nicht herunterzuladen, sagte ein anderer Beamter einer europäischen Regierung. Alle Beamten sprachen unter der Bedingung der Anonymität, um internationale Regierungsberatungen zu erörtern.
Die potenzielle Schwachstelle der Android-App, die tausendfach heruntergeladen wurde und ein Einfallstor für die Teilnehmer der COP27 darstellt, wurde separat von vier Cybersicherheitsexperten bestätigt, die die digitale Anwendung für POLITICO überprüft haben.
Die App wird als Tool beworben, um den Teilnehmern bei der Navigation durch die Veranstaltung zu helfen. Es riskiert jedoch, der ägyptischen Regierung die Erlaubnis zu erteilen, die E-Mails und Nachrichten der Benutzer zu lesen. Sogar Nachrichten, die über verschlüsselte Dienste wie WhatsApp geteilt werden, sind laut POLITICOs technischer Überprüfung der Anwendung und zweier externer Experten anfällig.
Die App bietet dem ägyptischen Ministerium für Kommunikation und Informationstechnologie, das sie erstellt hat, auch andere sogenannte Backdoor-Privilegien oder die Möglichkeit, die Geräte von Personen zu scannen.
Laut den drei Experten und der separaten Analyse von POLITICO hat Google auf Smartphones, auf denen die Android-Software von Google ausgeführt wird, die Erlaubnis, über die App möglicherweise die Gespräche der Benutzer mitzuhören, selbst wenn sich das Gerät im Ruhemodus befindet. Laut zwei Analysten kann es auch die Standorte von Personen über die integrierten GPS- und Wi-Fi-Technologien des Smartphones verfolgen.
Die App ist nichts weniger als „ein Überwachungstool, das von den ägyptischen Behörden bewaffnet werden könnte, um Aktivisten, Regierungsdelegierte und jeden, der an der COP27 teilnimmt, zu verfolgen“, sagte Marwa Fatafta, Digital Rights Lead für den Nahen Osten und Nordafrika bei Access Now, einer gemeinnützigen Organisation Organisation für digitale Rechte.
„Die Anwendung ist eine Cyberwaffe“, sagte ein Sicherheitsexperte nach der Überprüfung, der unter der Bedingung der Anonymität sprach, um die an der COP teilnehmenden Kollegen zu schützen.
Die ägyptische Regierung reagierte nicht auf Anfragen nach Kommentaren. Google sagte, es habe die App überprüft und keine Verstöße gegen die App-Richtlinien festgestellt.
Das potenzielle Sicherheitsrisiko entsteht, wenn Tausende von hochkarätigen Beamten in Sharm El-Sheikh, dem ägyptischen Ferienort, eintreffen, wo sogenannte QR-Codes oder Quasi-Barcodes, die die Menschen zum Herunterladen der Smartphone-Anwendung anweisen, in der ganzen Stadt verstreut sind .
Zu den Teilnehmern der COP27 gehören globale Führer wie der französische Präsident Emmanuel Macron, der britische Premierminister Rishi Sunak und der US-Außenminister Antony Blinken, obwohl es unwahrscheinlich ist, dass solch hochkarätige Politiker die App einer anderen Regierung herunterladen.
Die Experten, die mit POLITICO sprachen, sagten, dass viele der Daten und der Zugriff, die die COP27-App erhält, ziemlich Standard sind. Aber laut drei dieser Spezialisten gibt die Kombination aus der Menschenrechtsbilanz der ägyptischen Regierung und der Art von Menschen, die die App herunterladen würden, Anlass zur Sorge.
Seltsamer und umfangreicher Zugriff
Drei der Forscher sagten, die App berge Überwachungsrisiken für diejenigen, die sie herunterladen, da sie weit verbreitete Berechtigungen zur Überprüfung der Geräte von Personen hat, obwohl das Ausmaß des Risikos unklar bleibt.
Elias Koivula, ein Forscher bei WithSecure, einer Cybersicherheitsfirma, überprüfte die Android-App für POLITICO und sagte, er habe keine Beweise dafür gefunden, dass die E-Mails von Personen gelesen worden seien. Viele der der Klimakonferenz-App erteilten Genehmigungen dienten auch harmlosen Zwecken, wie zum Beispiel, die Menschen mit den neuesten Reiseinformationen rund um den Gipfel auf dem Laufenden zu halten, fügte er hinzu.
Koivula sagte jedoch, dass andere der App gewährte Berechtigungen „seltsam“ erschienen und möglicherweise dazu verwendet werden könnten, die Bewegungen und Kommunikationen von Personen zu verfolgen. Bisher habe er keine Beweise dafür, dass eine solche Aktivität stattgefunden habe, sagte er.
Nicht alle Experten waren sich über die Risiken einig.
Paul Shunk, ein Security Intelligence Engineer bei der Cybersicherheitsfirma Lookout, sagte, er habe keine Beweise dafür gefunden, dass die App Zugriff auf E-Mails hatte, und beschrieb die Idee, dass sie ein Überwachungsrisiko darstellte, als „seltsam“. Er war sich sicher, dass die App nicht als typische Spyware gebaut wurde, und schüttete kaltes Wasser auf Behauptungen aus, dass die App als Abhörgerät fungierte. Shunk sagte, es könne kein Audio aufnehmen, wenn es im Hintergrund laufe, was es „fast völlig ungeeignet macht, Benutzer auszuspionieren“.
Die COP27-App nutzt die Standortverfolgung „ausgiebig“, sagte Shunk, aber scheinbar für legitime Zwecke wie die Routenplanung für Gipfelteilnehmer. Es fehlte die Möglichkeit, basierend auf Android-Berechtigungen im Hintergrund auf den Standort zuzugreifen, was die App für eine kontinuierliche Standortverfolgung benötigen würde, fügte er hinzu.
Die beiden anderen Cybersicherheitsanalysten, die die App überprüft haben, sprachen unter der Bedingung der Anonymität, um ihre laufende Sicherheitsarbeit zu gewährleisten und die Kollegen zu schützen, die an der Klimakonferenz teilnehmen.
„Lassen Sie es mich so sagen: Ich würde diese App nicht auf mein Handy herunterladen“, sagte einer dieser Experten. Diese beiden Forscher warnten auch davor, dass es nach dem Herunterladen der Anwendung auf ein Gerät schwierig, wenn nicht unmöglich sein würde, ihre Fähigkeit zum Zugriff auf sensible Daten von Personen zu entfernen – selbst nachdem sie gelöscht worden waren.
POLITICO überprüfte die potenziellen Sicherheitsrisiken der App mithilfe von zwei offenen Cybersicherheitstools, und beide äußerten Bedenken hinsichtlich ihrer Fähigkeit, die Gespräche von Personen abzuhören, ihre Standorte zu verfolgen und die Funktionsweise der App zu ändern, ohne um Erlaubnis zu fragen.
Sowohl Google als auch Apple genehmigten, dass die App in ihren separaten App-Stores erscheint. Alle Analysten haben nur die Android-Version der App überprüft und nicht die separate App, die für Apples Geräte erstellt wurde. Apple lehnte es ab, sich zu der separaten App zu äußern, die für seinen App Store erstellt wurde.
Ägyptens Erfolgsbilanz
Zu den Bedenken von Rechtsgruppen kommt die Erfolgsbilanz der ägyptischen Regierung bei der Überwachung ihrer Bevölkerung hinzu. Nach dem sogenannten Arabischen Frühling hat Kairo laut einem Bericht von Privacy International, einer gemeinnützigen Organisation, hart gegen Dissidenten vorgegangen und lokale Notfallregeln angewendet, um die Online- und Offline-Aktivitäten seiner Bürger zu verfolgen.
Als Teil der Datenschutzerklärung der Smartphone-App sagt die ägyptische Regierung, dass sie das Recht hat, Informationen zu verwenden, die von denjenigen bereitgestellt werden, die die App heruntergeladen haben, einschließlich GPS-Standorten, Kamerazugriff, Fotos und Wi-Fi-Details.
„Unsere Anwendung behält sich das Recht vor, zu technischen und administrativen Zwecken sowie aus Sicherheitsgründen auf Kundenkonten zuzugreifen“, heißt es in der Datenschutzerklärung.
Doch die technische Überprüfung sowohl durch POLITICO als auch durch die externen Experten der COP27-Smartphone-Anwendung entdeckte weitere Genehmigungen, die Menschen der ägyptischen Regierung unwissentlich erteilt hatten, die nicht über ihre öffentlichen Erklärungen veröffentlicht wurden.
Dazu gehörte, dass die Anwendung das Recht hat, zu verfolgen, was die Teilnehmer mit anderen Apps auf ihrem Telefon gemacht haben; Verbinden der Smartphones der Benutzer über Bluetooth mit anderer Hardware auf eine Weise, die dazu führen könnte, dass Daten auf staatseigene Geräte ausgelagert werden; und das unabhängige Verbinden der Telefone von Einzelpersonen mit Wi-Fi-Netzwerken oder das Tätigen von Anrufen in ihrem Namen, ohne dass sie es wissen.
„Die ägyptische Regierung kann angesichts ihrer düsteren Menschenrechtsbilanz und der eklatanten Missachtung der Privatsphäre nicht mit der Verwaltung personenbezogener Daten von Menschen betraut werden“, sagte Fatafta, die Aktivistin für digitale Rechte.
Dieser Artikel ist Teil von POLITICO Pro
Die One-Stop-Shop-Lösung für politische Fachleute, die die Tiefe des POLITICO-Journalismus mit der Kraft der Technologie verbindet
Exklusive, bahnbrechende Neuigkeiten und Einblicke
Maßgeschneiderte Policy-Intelligence-Plattform
Ein hochrangiges Netzwerk für öffentliche Angelegenheiten
