Digitale Sicherheit

Hacker deckt drastische Sicherheitslücke bei Shazam auf

Ein Sicherheitsforscher hat eine versteckte Funktion in der App entdeckt, die Millionen Nutzer weltweit wenig freuen dürfte.

Lorenzo Franceschi-Bicchierai

Lorenzo Franceschi-Bicchierai

Bild: BrAt82 | Shutterstock

Die Shazam-App ist für viele Musikfans längst zum alltäglichen Begleiter geworden. In Sekundenschnelle verrät das kostenlose Programm Titel, Interpret und zahlreiche weitere nützliche Informationen von gerade laufender Musik.

Weniger praktisch ist dagegen eine Sicherheitslücke, die ein Forscher in der inzwischen über eine Milliarde mal heruntergeladenen App entdeckt hat und über die er gegenüber Motherboard exklusiv berichtet hat: Shazam schaltet das Mikro auf Apple-Computern niemals aus, selbst wenn der Nutzer sein Mikro in den Einstellungen deaktiviert hat. Und auch wenn der Nutzer die Shazam-App auf „OFF" stellt, läuft das Mikrofon im Hintergrund weiter.

In den Augen des Sicherheitsforschers Patrick Wardle ist die dauerhafte Verwendung des Mikros ein Bug, über den die Nutzer Bescheid wissen sollten. Für Shazam ist es lediglich ein Feature, das dafür sorgt, dass die App optimal läuft: „Es besteht kein Datenschutzproblem, da die Audioaufnahmen nicht verarbeitet werden, solange der Nutzer die App nicht aktiv einschaltet", erklärte James Pearson, der Vizepräsident von Shazams internationaler Kommunikationsabteilung, in einer E-Mail gegenüber Motherboard.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

„Wenn das Mikrofon nicht eingeschaltet bleiben würde, bräuchte die App viel länger zur Initialisierung des Mikrofons und um den Sound zwischenzuspeichern. Das würde die User Experience beeinträchtigen, da Nutzer sehr leicht den Song verpassen könnten, den sie identifizieren wollen."

Der Ex-NSA-Hacker Patrick Wardle, der inzwischen kostenlose Sicherheitstools für Macs entwickelt, stieß auf Shazams Sicherheitslücke dank seiner neuesten Software OverSight. Das Gratis-Tool überwacht den Rechner des Anwenders und schlägt Alarm, sobald eine Anwendung auf die Webcam- oder Mikrofonübertragung zugreift. Nach der Veröffentlichung von OverSight wurde Wardle von einem Nutzer kontaktiert, der durch das Sicherheitstool darauf aufmerksam geworden war, dass das Mikrofon bei Shazam immer noch lief, obwohl er die Anwendung ausgeschaltet hatte.

Diese Nachricht weckte sofort Wardles Interesse. Um den Fall zu untersuchen und um auszuschließen, dass seine eigene Software einen Fehlalarm auslöste, baute der Sicherheitsforscher die Shazam-App nach. Nachdem er den Code einige Stunden analysiert hatte, stellte Wardle fest, dass Shazam tatsächlich niemals aufhört, zuzuhören, wie er in einem Blogpost vom Montag erklärte.

Auch wenn sich diese Entdeckung sehr bedrohlich anhört, glaubt Wardle nicht, dass dahinter eine böse Absicht steckt. So spioniert die Shazam-App ihre Nutzer nämlich nicht aus und legt keine Audioaufnahmen an—allerdings legt sie jedoch auch nicht offen, wie ihre Anwendung funktioniert und genau darüber sollten die Nutzer Wardles Meinung nach informiert sein.

„Wenn ich etwas ausschalte, sollte es auch tatsächlich aus sein", erklärte Wardle gegenüber Motherboard. „Es ist ja nett von Shazam, dass sie diese Daten nicht weiterverarbeiten, aber das ändert nichts daran, dass sie weiterhin ununterbrochen mitschneiden."

„Wenn ich etwas ausschalte, sollte es auch tatsächlich aus sein"

Pearson bestätigte zwar, dass das Mikrofon durch die Anwendung dauerhaft eingeschaltet bleibt, widersprach Wardles Bedenken jedoch und sagte, dass es sich nicht um einen Programmfehler handle. Da Shazam im ausgeschalteten Zustand die Audioaufnahmen weder speichere noch versende, würden sie lediglich einen „digitalen Fingerabdruck der Tonaufnahmen" erstellen.

Pearson gab in einer Stellungnahme an, dass das Mikrofon nur aus „technischen Gründen" eingeschaltet bleibe, jedoch „keine Audiodaten verarbeitet werden und somit die Entscheidung des Nutzers, die Funktionen der Anwendung nicht einzusetzen, vollkommen respektiert wird." Daher werde Shazam auch trotz der Enthüllung nichts an seiner Anwendung ändern, da es dafür gar keinen Grund gäbe, erklärte Pearson.

Findet mit diesem Tool heraus, ob eure Webcam ausspioniert wird

Wardle konnte in seinen Untersuchungen bestätigen, dass die Anwendung allem Anschein nach Audiodaten nicht weiterverarbeitet, wenn sie ausgeschaltet ist: „Ich habe keinen Hinweis darauf gefunden, dass die aufgenommenen Daten verarbeitet, gespeichert oder verschickt werden", schrieb Wardle in seinem Blogpost, den er Motherboard vor der Veröffentlichung zur Verfügung stellte. „Trotzdem möchte ich nicht, dass eine App scheinbar ununterbrochen Audiodaten von dem Mikrofons meines Computers zieht."

Die konstante Nutzung des Mikrofons stellt Wardles Meinung nach eine Sicherheitslücke dar: Eine Malware könnte die Anwendung nutzen und den Nutzer dank Shazams Einstellungen unbemerkt aufnehmen, ohne eine Sicherheitswarnung auszulösen. Außerdem könnte Shazam die Funktionsweise seiner App jederzeit ändern, ohne dass der Nutzer es bemerken würde.

Im Endeffekt muss natürlich jeder Nutzer selbst entscheiden, ob er Shazams dauerhafte Nutzung des Mikrofons—selbst bei ausgeschalteter App—als nützliche Funktion oder Bug betrachtet. Wardle hat sich jedenfalls dazu entschlossen, die Anwendung von seinem Gerät zu löschen.