China zwingt muslimische Minderheit, Überwachungs-App zu installieren

Wer das Programm nicht nutzt, muss bis zu zehn Tage ins Gefängnis. Jetzt haben Sicherheitsforscher das Spionage-Tool untersucht – die Ergebnisse sind schlimmer als befürchtet.

|
Apr. 11 2018, 12:04pm

Frisch rekrutierte Soldaten in der Militärakademie in Urumqi, der Hauptstadt von Xinjiang | Bild: Imago | Xinhua 

Es klingt wie der Plot eines dystopischen Romans: Die Regierung zwingt eine ethnische Minderheit dazu, eine Android-App zu nutzen, die ihre Geräte nach bestimmten Dateien durchforstet. Doch im Westen Chinas ist das Realität: In der Region Xinjiang, in der hauptsächlich muslimische Uiguren wohnen, mussten alle Bewohner im vergangenen Jahr das Spionage-Programm JingWang installieren.

Nun haben Sicherheitsforscher die App untersucht und herausgefunden, welche Daten die Anwendung sammelt und wie Nutzerinformationen übermittelt werden. Das Ergebnis: In punkto Datensicherheit ist die Anwendung eine Katastrophe. "Unser Test zeigt, dass die JingWang-App sehr unsicher ist und keine Vorkehrungen hat, um private, identifizierende Informationen seiner Nutzer zu schützen", sagte Adam Lynch gegenüber Motherboard. "Dazu kommt: Wir sprechen hier von Nutzern, die von ihrer Regierung gezwungen wurden, die App herunterzuladen und zu nutzen." Lynch ist Forschungsdirektor des Open Technology Fund (OTF), das die Arbeit der unabhängigen Sicherheitsforscher unterstützt. Der OTF wird von der US-Regierung gefördert.

Mit der App setzt die chinesische Regierung die staatliche Überwachung und Unterdrückung der Uiguren fort. Im Jahr 2017 schickten Behörden den Bewohnern von Urumqi, der Hauptstadt von Xinjiang, eine Nachricht über das in China beliebte Chat-Programm WeChat. Die Nachricht enthielt einen QR-Code, über den die Bewohner die JingWang-App herunterladen sollten.

Wie die New York Times berichtete, setzen chinesische Behörden verschiedene Mittel ein, um die Uiguren in Xinjiang zu überwachen. Dazu gehören Röntgenscanner in Banken und Supermärkten, Gesichtserkennungssoftware und Identifikationsnummern, unter denen verschiedene Informationen gesammelt werden. Einzelne uigurische Gruppen haben sich gewaltsam gegen diese Maßnahmen gewehrt, beispielsweise während der Aufstände 2009, fügte die New York Times hinzu. 2013 und 2014 kam es zu weiteren Ausschreitungen, darunter eine Massenstecherei in einem Bahnhof, bei dem 33 Menschen starben, wie die Associated Press berichtete.

Aufgrund ihrer Sprache, Ethnizität und Kultur hätte die chinesische Regierung "schon immer die politische Loyalität der Uiguren in Frage gestellt", sagte Sophie Richardson von Human Rights Watch gegenüber Motherboard. In einem Bericht von 2005 schrieb Human Rights Watch, dass China den "weltweiten Krieg gegen den Terrorismus" als Vorwand nutze, um "härter denn je in Xinjiang durchzugreifen".


Ebenfalls auf Motherboard: Totalüberwachung für 150 Euro


So funktioniert die chinesische Überwachungs-App

Die Sicherheitsforscher haben mit ihrem Bericht bestätigt, was chinesische Nutzer schon im vergangenen Jahr feststellten: Die JingWang-App durchsucht Geräte nach bestimmten gespeicherten Dateien, dazu gehören HTML-, Text- und Bilddateien. Dabei werden die Inhalte des Mobiltelefons mit einer Liste von sogenannten MD5-Hashes verglichen. Ein solcher Hash ist eine mehrstellige Zeichenfolge, die als digitaler Fingerabdruck einer Datei funktioniert.

In der Nachricht zur JingWang-App, die die chinesische Regierung im vergangenen Jahr an die Einwohner Xinjiangs schickte, hieß es, dass die App "automatisch terroristische und illegale religiöse Videos, Bilder, E-Bücher und Dokumente" erkenne. Das geht aus einer Übersetzung der Nachricht hervor, die Mashable 2017 veröffentlichte. Diese illegalen Inhalte müssten umgehend gelöscht werden. Nutzer, die die App nicht installierten oder wieder löschten, drohten bis zu zehn Tagen Haft, hieß es bei Mashable weiter.

Die App macht Nutzer zusätzlich anfällig für Hackerangriffe

Bisher ist nicht offiziell bekannt, nach welchen Dateien JingWang genau sucht. In ihrem Blogpost hat der OTF eine Liste der Hashes veröffentlicht – außerdem hat der OTF eine Liste mit 47.000 Hashes mit Motherboard geteilt.

Laut des OTF-Berichts, den Motherboard mithilfe der Sinologin Lotus Ruan ausgewertet hat, kann JingWang Screenshots von Dateien auf durchsuchten Geräten machen. Außerdem sendet die App die Telefonnummer, das Gerätemodell, die MAC-Geräteadresse, IMEA-Identifikationsnummer und Metadaten von verdächtigen, extern gespeicherten Dateien an einen Server. Wenig überraschend befindet sich dieser Server in China.

Die Sicherheitsforscher fanden heraus, dass JingWang die Nutzerdaten vollkommen unverschlüsselt überträgt. Die Updates der App haben keine digitale Signatur, somit könnten sie leicht durch eine andere Anwendung ersetzt werden, ohne dass die User es merken. Eine grobe Sicherheitslücke, die Hackern Tür und Tor öffnet, um den Nutzern von JingWang heimlich eigene Schadsoftware unterzujubeln.

"Da die App so unsicher ist, macht sie Nutzer auch für Angriffe verwundbar, die nicht von der chinesischen Regierung ausgehen", betont Lynn. "Es wirkt so, als ob es der Regierung völlig egal sei, die Daten der Bürger zu schützen, sie sollen nur gegen sie verwendet werden können."

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter