Foto: Nomi2626 - shutterstock.com
Wer zur Fußballweltmeisterschaft nach Katar reisen will, wird aufgefordert, die beiden Apps Ehteraz und Hayya herunterzuladen. Wie die norwegische Rundfunkanstalt NRK (drei TV- und 15 Radiokanäle) berichtet, erlauben diese Apps den katarischen Sicherheitsbehörden weitreichende Zugangsmöglichkeiten zu den Smartphones der Benutzer.
NRK hat den Leiter seiner IT-Sicherheitsabteilung Øyvind Vasaasen gebeten, die Apps gründlich zu überprüfen. Bei Ehteraz handelt es sich um eine Covid-19-Tracking-App, während Hayya die offizielle WM-App ist, mit der Besucher einfacher einreisen, in die Stadien gelangen und die öffentlichen Verkehrsmittel im Wüstenemirat kostenlos nutzen können. Laut Vasaasen beansprucht vor allem die Corona-App weitgehende Rechte auf den Mobiltelefonen der Nutzer, sie betreffen das Lesen, Löschen und Ändern von Inhalten auf dem Phone, ebenso das Herstellen einer WiFi- oder Bluetooth-Verbindung, das Abschalten von Apps und mehr.
Behörden verschaffen sich Zugriffsrechte
Jede Besucherin und jeder Besucher über 18 Jahren muss dem Bericht zufolge die Ehteraz-App herunterladen. Sie soll den Behörden auch Informationen über den genauen Standort des Telefons bieten, ebenso die Möglichkeit, direkte Anrufe zu tätigen und die Bildschirmsperre zu deaktivieren.
Der US-Sicherheitsexperte Bruce Schneier ist sich allerdings nicht sicher, ob eine Einreise ohne diese "Spyware-App" wirklich unmöglich sein wird. Er wisse etwa von Saudi-Arabien, dass dort ebenfalls das Laden fragwürdiger Apps verlangt werde, sich bei der Grenzkontrolle allerdings niemand darum schere. In Schneiers Blog empfehlen Kommentatoren, im Zweifel ein zweites, komplett unberührtes Handy mitzunehmen und darauf nur die beiden Katar-Apps zu laden.
Hayya-App nicht ganz so kritisch
Die offizielle WM-App Hayya agiert laut NRK nicht ganz so invasiv wie Ehteraz, hat aber auch eine Reihe von kritischen Aspekten. So verlange die App die Freigabe persönlicher Daten, ermögliche eine Standortbestimmung und zeige die Netzwerkverbindungen des Telefons an.
Letztendlich könnten die Behörden mit den beiden Apps die Inhalte eines Phones manipulieren und die Kontrolle über alle darauf liegenden Informationen übernehmen, so das Fazit des Sicherheitsmanagers von NRK. Er war von seinem Sender im Rahmen der Vorbereitungen auf die WM in Katar beauftragt worden, die offiziellen Apps zu überprüfen.
Wenn man die Apps herunterlade, akzeptiere man alle im Vertrag festgelegten Bedingungen, und die seien mehr als großzügig. Besucher der WM gäben im Grunde alle Informationen auf Ihrem Telefon preis. Menschen, die diese Apps kontrollierten, hätten die Möglichkeit, Dinge zu lesen, zu ändern und zu manipulieren. Sie könnten Informationen aus anderen Anwendungen abrufen, wenn sie denn technisch dazu in der Lage wären.
Auch IT-Sicherheitsfirmen schlagen Alarm
NRK hat aufgrund dieses Befunds die beiden unabhängigen IT-Sicherheitsunternehmen Bouvet und Mnemonic gebeten, die Apps zu überprüfen. Wenn man bösartige Absichten verfolge, könne man mit den Informationen, die die App sammelt, eine ganze Menge Unheil anrichten, urteilt Martin Gravåk von der Firma Bouvet. Die Covid-19-App zeichne auf, wo sich die Nutzer aufhielten und welche Handys sich in der Nähe befänden. Auf diese Weise könnten potenzielle Überwacher Informationen miteinander verknüpfen und herausfinden, wer sich wann mit wem trifft. "Wenn Sie hinter Oppositionellen, Schwulen oder sonstigen missliebigen Personen her sind, wird Ihnen eine solche App die Arbeit sehr erleichtern", urteilt Gravåk.
Auch Tor Erling Bjørstad von Mnemonic findet die Apps im Vergleich zu den "normalen Apps", die die meisten Menschen nutzen, "haarsträubend". Gerade die Ortungsfunktionen böten ein hohes Missbrauchspotenzial. Leuten, die solche Apps entwickelten, müsse man schon viel Vertrauen entgegenbringen - und jeder müsse selbst entscheiden, ob er den Behörden in Katar vertrauen wolle.
NRK hat seine Erkenntnisse an die FIFA weitergeleitet, die sich allerdings bislang nicht zu dieser Angelegenheit äußern wollte. Außerdem hat der Sender mit Naomi Lintvedt eine wissenschaftliche Mitarbeiterin an der juristischen Fakultät der Universität Oslo gebeten, die Apps zu überprüfen. Auch sie stimmt mit dem Sicherheitschef von NRK überein, dass vieles problematisch sei, und bezeichnet die Apps als "sehr aufdringlich".
Eingeschränkte Zustimmungsrechte
Schwierig sei etwa, dass User der Nutzung nur in vollem Umfang und nicht auch teilweise zustimmen könnten. Auch gebe es kaum Möglichkeiten, die Berechtigungen zu ändern. "Es handelt sich hier um eine obligatorische App, bei der es keine Optionen gibt", betont sie. Wäre sie Arbeitgeberin, würde sie ihren Angestellten nicht erlauben, ihr Diensthandy mit nach Katar zu nehmen, sagt Lintvedt.
Foto: Google Play Store
Auch als Privatperson würde sie davon absehen, ihr eigenes Telefon im Gastgeberland der Fußballweltmeisterschaft zu benutzen. Die Apps gingen viel zu weit, wenn es um die Frage gehe, welche Daten aufgezeichnet und verwendet werden dürften. Die Behörden erhielten einen weitreichenden Zugriff, sie könnten Funktionen des Mobiltelefons verändern und übernehmen. In Katar gebe es ein hohes Risiko, dass die Daten der Covid-App für andere Zwecke als die Infektionsverfolgung verwendet würden, meint die Juristin. (hv)