Ist eine App auf einem Android-Gerät installiert, kann sie vom Smartphone als sogenannte apk-Datei exportiert werden. Eine apk-Datei ist vergleichbar mit einer .exe-Datei auf einem Windows-Rechner oder eine .dmg-Datei auf einem Apple-Computer: Sie hilft dabei, ein Programm zu installieren und ähnelt einer zip-Datei. Diese Datei wurde der SZ zugespielt. Der Recherchepartner Vice's Motherboard hat den App-Code hier veröffentlicht.

Wie wurde untersucht, was die App kann?

Die Süddeutsche Zeitung und ihre Partner haben die Methode des "Reverse Engineering" angewendet. Damit versuchen Programmierer zu rekonstruieren, wie eine Software funktioniert. Dies umfasst eine dynamische und eine statische Analyse der Anwendung. Bei der dynamischen Analyse wurde die App auf einem isolierten Smartphone ausgeführt und der Netzwerkverkehr sowie Systemprotokolle ausgewertet. Die IT-Experten ahmten das technische Umfeld am chinesischen Grenzposten nach. Das Smartphone war während der Untersuchung nicht mit dem deutschen Handynetz verbunden, sondern mit einem W-Lan-Netz. Als die App das Test-Handy ausgewertet hatte und den Bericht der Durchsuchung versendet hatte, konnten die Experten den Bericht abgreifen und analysieren.

Bei der statischen Analyse wurden alle zur App gehörigen Dateien genauer untersucht. Diese Dateien liegen zum großen Teil nur in Form von Maschinencode vor, der für Menschen nicht verständlich ist. Die IT-Experten konnten diesen Maschinencode in eine Form zurückübersetzen, die einer Programmiersprache ähnelt, und damit auch analysieren.

Eine Besonderheit war dabei, dass weitere kleine Hilfsprogramme in der Programmiersprache C++ sowie eine verschlüsselte Datenbank und mehrere Konfigurationsdateien Bestandteil der App waren. Durch die statische Analyse konnte unter anderem ermittelt werden, dass die App nach verdächtigen Dateien auf dem Gerät sucht sowie Daten bekannter chinesischer sozialer Netzwerke extrahiert.

Wie wurde analysiert, nach welchen Inhalten die App sucht?

Ein Bestandteil der App ist eine Datenbank von Inhalten, die aus Sicht der chinesischen Regierung verdächtig sind. Für jede dieser Dateien gibt es einen sogenannten Hash-Wert, das ist eine Art digitaler Fingerabdruck. Die Datenbank enthält 73 315 Zeilen mit je einem Hash-Wert. Die Datenbank der Hash-Werte lag zunächst nur verschlüsselt vor, der chinesische Staat will sie offenbar geheim halten. Durch Reverse Engineering des Programms, welches diese Datenbank ausliest und nach verdächtigen Dateien sucht, konnten IT-Sicherheitsforscher der Ruhr-Universität Bochum und des Citizen Lab der Universität Toronto den Schlüssel für die Datenbank extrahieren und anschließend die Datenbank entschlüsseln.

Wie konnte ermittelt werden, nach welchen verdächtigen Dateien gesucht wird?

Nach Entschlüsselung der Datenbank lagen 73.315 Fingerabdrücke von Dateien vor, bestehend aus je 32 Ziffern und Buchstaben. Die Fingerabdrücke alleine sind ohne weitere Informationen wertlos. Das Recherche-Team hat mit Hilfe von Experten versucht, möglichst viele Dateien zu identifizieren. Dazu wurden verschiedene Datenbanken und Suchmaschinen mit der Hash-Liste aus der Überwachungs-App abgeglichen. Die meisten Treffer wurden beim Abgleich mit Datenbanken von Virenscannern gefunden. Virenscanner nutzen diese Datenbanken, um eine Risikoeinschätzung für bereits analysierte Dateien zu sammeln. Am Ende konnte das Recherche-Team mehr als 500 Dateien genauer untersuchen. Das Ergebnis offenbart, wofür sich der chinesische Staat interessiert. Darunter in erster Linie islamistische Inhalte, aber auch solche, die in Europa als harmlos gelten würden.

Video

Da nur ein Bruchteil der gut 73.000 Daten untersucht wurde, ist eine abschließende Bewertung der Datenbank schwierig. Die Datenbanken der Virenscanner sind keine repräsentative Sammlung von Datenmaterial. Dieses Verfahren ermöglicht lediglich ein kleines Fenster in die Denke der chinesischen Regierung und seiner Sicherheitsbehörden.

Wer hat an der Recherche teilgenommen?

Ein Team der Süddeutschen Zeitung, des NDR, des britischen Guardian, der New York Times und der Fachpublikation Vice's Motherboard hat die App zusammen mit IT-Sicherheitsforschern der Ruhr-Universität Bochum analysiert. Die Ergebnisse wurden durch Cure53 im Auftrag des Opentech Fund, eines staatlich finanzierten US-Forschungsprogramms, und das Citizen Lab, ein Institut der Universität Toronto, überprüft und ergänzt. Bei der Identifikation der gesuchten Dateien wurde das Recherche-Team von Experten des Citizen Lab und von York Yannikos vom Fraunhofer-Institut für Sichere Informationstechnologie unterstützt.

Läuft die App permanent im Hintergrund?

Nein, es wurde kein Anhaltspunkt dafür gefunden, dass die App im Hintergrund läuft oder außerhalb des Grenzpostens weiter Daten sammelt. Die App scheint darauf ausgelegt sein, nur in der am Grenzposten eingerichteten Infrastruktur ausgeführt zu werden. Es ist eine feste IP-Adresse hinterlegt, an welche die Auswertung gesendet wird. Diese IP-Adresse befindet sich in einem lokalen Raum und ist über das Internet nicht zu erreichen. Zusätzlich fordert die App per Dialog auf, zum W-Lan-Netz im Grenzposten zu wechseln.

Wie wurde der Hersteller der App recherchiert?

Der Paketname der App lautet "com.fiberhome.wifiserver". Bei Android-Apps ist es üblich, den umgekehrten Domainnamen als Paketnamen festzulegen. Ein weiterer Hinweis auf die Firma findet sich in den sogenannten Ressource-Dateien der App, in der alle Beschriftungen der App-Oberfläche enthalten sind. FiberHome wollte sich auf Anfrage der Süddeutschen Zeitung und ihrer Partner nicht zu den Ergebnissen der Recherche äußern.