App zur Paketverfolgung arbeitet wie ein Bot

Die Paket-Tracking-App "Parcels" des russischen Entwicklers Pavel Tisunov nutzt offenbar Botnetz-Techniken. Das hat der brasilianische iOS-Programmierer Guilherme Rambo herausgefunden.


"Parcels", nicht zu verwechseln mit "Parcel" von Ivan Pavlov, das ebenfalls im App Store zu finden ist, bietet die Sendungsverfolgung bei zahlreichen Paketdiensten an. In der Liste finden sich UPS, Deutsche Post und Schweizerische Post ebenso wie viele chinesische und weitere internationale Transportdienstleister. Der Entwickler wirbt außerdem damit, dass sich seine App insbesondere für das Tracking von Lieferungen aus China eigne.


Guilherme Rambo schreibt auf dem Portal 9to5Mac, die kostenlose App beginne unmittelbar nach dem Öffnen damit, von anderen Anwendern eingetragene Paketdaten von Pavel Tisunovs Server herunterzuladen. Anschließend rufe das iPhone mit diesen Informationen den aktuellen Paketstatus der Sendungen der fremden Nutzer von den Servern der entsprechenden Paketdienste ab und leite ihn an den "Parcels"-Server weiter.

Diese Vorgehensweise ist nahezu identisch mit der Technik, die von Botnetzen genutzt wird. Rambo betont zwar, dass er bei seiner Analyse der App bislang keine Hinweise auf schädliches Verhalten gefunden habe. Allerdings könnte sich das natürlich jederzeit ändern und die Anwendung für DDoS- oder Man-in-the-middle-Angriffe eingesetzt werden. Da die Nutzer von "Parcels" nicht über die Arbeitsweise der App informiert werden, verstößt der Entwickler darüber hinaus gegen zumindest europäisches Datenschutzrecht.

Die von "Parcels" angewandte Technik ist laut den Richtlinien für den App Store nicht erlaubt. Apple wurde bereits informiert, bislang ist die App allerdings immer noch im App Store verfügbar.

Kommentare

sierkb09.01.19 19:24
Ebenfalls auch:

Engadget (07.01.2019): Over a dozen iPhone apps talked to a known malware server
The apps themselves appeared to be safe, but might have been risky later.

Techcrunch (05.01.2019): Security researchers find over a dozen iPhone apps linked to Golduck malware

Wandera (05.01.2019): App vetting: How do you measure the risk level of risky apps?
0
sierkb09.01.19 19:47
The Register (04.01.2019): Security: Stormy times ahead for IBM-owned Weather Channel app: LA sues over location data slurp
'Privacy in the digital age is one of the most fundamental issues' says city attorney :
The Register, 04.01.2019
The Weather Channel app duped users into providing location data that the company then sold for advertising and other commercial purposes, according to a lawsuit brought by Los Angeles City Attorney Mike Feuer.

The complaint (PDF), filed in Los Angeles Superior Court on Thursday, alleges that the mobile application, owned by IBM's Weather Company (TWC) , in seeking user permission to gather location data, fails to explain clearly how it shares the information.

"When seeking users' permission to track geolocation data, the app does not disclose to users that TWC will transmit that data to third parties, nor that the data will be used for advertising and other commercial purposes bearing no relation to weather or the services provided by the app," the complaint says.

"To the contrary, the app misleadingly suggests that such data will be used only to provide users with 'personalized local weather data, alerts and forecasts.'"

The complaint alleges that the Weather Channel app has collected detailed location data on app users for years and that the Weather Company has analyzed and/or transferred the data to third parties for targeted advertising and to help hedge funds understand consumer behavior.

It contends that one of IBM's primary reasons for buying the Weather Company was to profit from this data. And it says that TWC intentionally hides the fact that it shares location data in its lengthy privacy policy because the company recognizes many users would object to such data sharing if they knew of it.

"If the cost of a weather forecast will be the sacrifice of deeply private information – like precisely where we are, day and night – it must be clear, in advance," said Feuer in a statement. "But we allege TWC elevates corporate profits over users' privacy, misleading them into allowing their movements to be tracked, 24/7. We're acting to stop this alleged deceit."

Feuer argues Americans need to be properly informed before making privacy decisions.

IBM hardly alone in this

The lawsuit follows a report last month in the New York Times that delved into the extent to which mobile apps gather location data without adequate disclosure and a year of scrutiny of Facebook over its sharing of user data with partners and developers.

TWC, according to the complaint, has been able to convince about 80 per cent of users to grant access to geolocation data. The company is said to collect more than a billion pieces of location data per week.
[…]

IBM defended TWC's disclosure practices. "The Weather Company has always been transparent with use of location data; the disclosures are fully appropriate, and we will defend them vigorously," the company said in an emailed statement.
In a press conference streamed via Twitter – under investigation by Ireland’s Data Protection Commission over its collection of user location data – Feuer expressed skepticism about IBM's defense of its subsidiary.

"If a company were really transparent, that first screen [in the Weather Channel app] would tell the user that their location data was being used for far more than weather," he said.

The lawsuit seeks the statutory penalty under California's Unfair Competition Law, up to $2,500 per violation, or twice that when the victim is disabled or a senior citizen. The app is said to have 45 million monthly users; it's not yet clear how many reside in California. Feuer said it's premature to discuss how much a potential penalty might be.

Feuer made clear that many companies engage in similar downplayed location data gathering. TWC's app was targeted, he said, because it touches all demographics and seems benign and innocuous, because the company claims to have the largest trove of geolocation data and because the company did little to change its practices in the wake of the New York Times expose.

"The issue of our privacy in the digital age is one of the most fundamental issues we confront today," he said.

NBC News (04.01.2019): The Weather Channel app sued over claims it sold location data
The Los Angeles City Attorney’s office issued a cloudy forecast with the possibility of civil penalties for the popular Weather Channel app Friday.


Auch Apples mit iOS mitgelieferte und unters Volk gebrachte Wetter-App nutzt den Service/die Dienste von The Weather Channel/Company (TWC), ist ein Wrapper drumherum oder gar direkt ein Produkt von TWC:

Apple Support Document HT207492: Informationen zur Wetter-App und zu den Symbolen auf dem iPhone und iPod touch
Hier erfahren Sie, wie Sie mit der Wetter-App auf dem iPhone das Wetter an Ihrem aktuellen Standort oder in anderen Städten abfragen.
+3
Stefan S.
Stefan S.09.01.19 20:13
sierkb
Auch Apples mit iOS mitgelieferte und unters Volk gebrachte Wetter-App nutzt den Service/die Dienste von The Weather Channel/Company (TWC), ist ein Wrapper drumherum oder gar direkt ein Produkt von TWC:

Oha! das ist ja scheiße!
Manning, Snowden,Levison & sind Helden und Obama stinkt.
-1
Stefan S.
Stefan S.09.01.19 20:17
Diese Apperitis, für jeden Kack ne App ist mehr eh völlig fremd. Wieviele Pakete bekommt man denn so am Tag? Wieso reicht da nicht ein einfacher Klick auf den mitgelieferten Link? Demnächst gibt es nur noch Pakete, wenn man bei FB angemeldet ist...zzz grrr.
Mit ner App meiner Versicherung habe ich immer tollen Überblick über all meine Versicherungen... was soll der Scheiß? Sooo langweilig ist's mir nun wirklich nicht.
Manning, Snowden,Levison & sind Helden und Obama stinkt.
-2
ronny332
ronny33209.01.19 20:23
Für mich riecht das nach einer "netten" Idee um IP Blockaden zu umgehen. Wenn man 2.000.000 DHL Sendungen in der Datenbank hat, davon aber alle halbe Stunde den Status haben will, macht das mal eben 4.000.000 Requests pro Stunde, was so ziemlich jeder Anbieter als "Angriff" von einer einzigen IP werten dürfte.
Mit diesem "Bot-Netz" umgeht man genau dieses Problem und schadet (von minimal extra Traffic für den Kunden) erstmal keinem Nutzer.

An sich eine nette Idee, es wäre nur schön, sowas offen zu kommunizieren.

Der Vorfall erinnert mich ein bisschen an den Aufschrei beim Blizzard (Spiele-) Updater, welcher eine Art Torrent Netzwerk für die Verteilung der der Updates genutzt hat. Auch daran war eigentlich nichts Böses, aber auch hier fehlte es an Transparenz und danach wurde erstmal "gebrüllt" .
+6
MikeMuc09.01.19 20:27
Immerhin kann das bei Leuten, die keine Datenflat haben zum extrem schnellen Aufbruch des vorhandenen Datenvolumens führen. Auch nicht nett wenn man davon überrascht wird.
Hoffentlich war wenigstens der Datenstrom anständig verschlüsselt.
-1
athlonet09.01.19 20:41
MikeMuc
Hoffentlich war wenigstens der Datenstrom anständig verschlüsselt.

Nein, war er nicht

Zitat:
„Die Übertragung der Tracking-Informationen erfolgt im Klartext, schreibt Rambo, so dass ein Mitlesen der Paketnummern problemlos möglich sei: Innerhalb einer Stunde habe er so allein 52 Tracking-Anfragen von Fremden sammeln können.“
+1
MikeMuc09.01.19 22:55
athlonet
Ihh, was für ein Fiesling. Dem sollten lebenslang alle Compiler entzogen / verboten werden.
0
svenhalen
svenhalen10.01.19 08:14
Stefan S.
Diese Apperitis, für jeden Kack ne App ist mehr eh völlig fremd. Wieviele Pakete bekommt man denn so am Tag? Wieso reicht da nicht ein einfacher Klick auf den mitgelieferten Link? Demnächst gibt es nur noch Pakete, wenn man bei FB angemeldet ist...zzz grrr.
Mit ner App meiner Versicherung habe ich immer tollen Überblick über all meine Versicherungen... was soll der Scheiß? Sooo langweilig ist's mir nun wirklich nicht.


Genau! Und dieses dämliche Internet und Smartphones! Wozu braucht man den Quatsch? Man sieht doch, wie das Wetter gerade ist oder ob das Paket schon angekommen ist.
0
ratti10.01.19 08:30
Stefan S.
Diese Apperitis, für jeden Kack ne App ist mehr eh völlig fremd.

„Wäre nicht ein Technologie großartig, die eine App nur dann vorübergehend aus der Cloud installiert, solange man sie nutzt? Und wenn man sie schliesst, wird sie automatisch wieder vom Handy entfernt — und man würde von all dem nichts merken?“

„Gibt es schon. Nennt sich Website.“


Ich habe auch nie den Sinn verstanden von tagesschau-App, Spiegel-App, NDR-App, 9Gag-App, MTN-App,… alle wollen eine App auf mein Handy knallen, und wenn sie erst drauf sind, dann nerven sie rum mit Push-Nachrichten, Werbung und Personalisierung. Kommt mir alles nicht auf's Gerät. Webbrowser und Werbeblocker, fertig.
+6
ratti10.01.19 08:36
MikeMuc
Hoffentlich war wenigstens der Datenstrom anständig verschlüsselt.
Wie willst Du da verschlüsseln? Eine Tracking URL besteht in der Regel aus einer ID an einem GET-Request, fertig:
https://anbieter.foo?paketnummer=12345678

Das ist der Link, der an jeder Mail unten dranhängt, ohne dass Du einen Account oder ein Passwort hättest bei DHL&Co. Wer die ID hat, hat alles.
+1
ratti10.01.19 08:40
svenhalen
Stefan S.
Diese Apperitis, für jeden Kack ne App ist mehr eh völlig fremd.
Genau! Und dieses dämliche Internet und Smartphones! Wozu braucht man den Quatsch? Man sieht doch, wie das Wetter gerade ist oder ob das Paket schon angekommen ist.

Hä? Und wieso braucht man jetzt unbedingt eine App, um seine einzige Internet-Bestellung im Monat zu verfolgen?
+2
MikeMuc10.01.19 10:14
ratti
Bei DHL zb mußt du noch die PLZ eingeben wenn du mehr erfahren willst.
+1
ratti10.01.19 10:55
MikeMuc
rattiBei DHL zb mußt du noch die PLZ eingeben wenn du mehr erfahren willst.
OK, vielleicht liegt die bei mir in 'nem Browsercookie, dass ich die Abfrage nie sehe, aber die App, über die wir hier diskutieren, beweist ja, dass das eher der Ausnahmefall ist. Die funktioniert ja mit Direktlink.

Ich habe als Webentwickler etliche Browser auf dem System, ich habe jetzt grad mal mehrere echte Tracking-Link in einem meiner „leeren“ Bastelbrowser probiert, da kriege ich bei Amazon problemlos alles zu sehen. Bei einem anderen DHL-Link sieht man auch in der URL, wie ein Parameter 'zip=' übergeben wird — in meinem Fall zwar leer, aber der wird ja auch seinen Sinn haben.

Lange Rede, kurzer Sinn. Wir können jetzt mit unseren privaten Tracking-Links Poker spielen, es scheint aber offensichtlich so zu sein, dass eine „volle“ Übergabe des Links ausreicht, irgendwo zwischen „oft“ und “immer“.

Ich bin mir nicht 100%ig sicher, ich meine allerdings, dass auch unter HTTPS2.0 die URL selber immer unverschlüsselt ist und sich das erst in einer der aktuelleren Implementationen ändern lässt (und das muss die Gegenstelle auch erst mal unterstützen, was mit einem ReversProxy dazwischen immer noch nicht Standard und trivial ist).
+1
sierkb10.01.19 12:10
ratti
Stefan S.
Diese Apperitis, für jeden Kack ne App ist mehr eh völlig fremd.

„Wäre nicht ein Technologie großartig, die eine App nur dann vorübergehend aus der Cloud installiert, solange man sie nutzt? Und wenn man sie schliesst, wird sie automatisch wieder vom Handy entfernt — und man würde von all dem nichts merken?“

„Gibt es schon. Nennt sich Website.“

So ist es. Genau sowas gibt's, es nennt sich Webseite bzw. nennt sich eine weitere Form/Weiterentwicklung davon, nennt sich Web App bzw. Progressive Web App (PWA): /, und steht absichtsvoll in direkter Konkurrenz zum AppStore-Modell bzw. bedroht es, Apple weiß das und findet es deshalb für sein AppStore-zentriertes Universum gar nicht prickelnd.
0
sierkb10.01.19 16:13
Jason Koebler via Twitter
NEW + BIG: @josephfcox gave a bounty hunter $300 and a phone number; the bounty hunter quickly located that phone using a poorly regulated service that is sold to a bunch of private industries including landlords, used car salesmen, and bail bondsmen
Q: ff.

Motherboard (08.01.2019): I Gave a Bounty Hunter $300. Then He Located Our Phone
T-Mobile, Sprint, and AT&T are selling access to their customers’ location data, and that data is ending up in the hands of bounty hunters and others not authorized to possess it, letting them track most phones in the country.
0
Papaducklake10.01.19 16:37
ratti
Ich habe auch nie den Sinn verstanden von tagesschau-App, Spiegel-App, NDR-App, 9Gag-App, MTN-App,… alle wollen eine App auf mein Handy knallen, und wenn sie erst drauf sind, dann nerven sie rum mit Push-Nachrichten, Werbung und Personalisierung. Kommt mir alles nicht auf's Gerät. Webbrowser und Werbeblocker, fertig.

Macht für mich schon Sinn. Oft sind die Inhalte der App wesentlich besser auf‘s iPhone Display angepasst. Formel1.de ist z.B. im Browser ziemlich gruselig. Kommt noch dazu, dass Redakteure bald von Luft und Liebe leben müssen, wenn die Leute die App nicht installieren und im Browser die Werbung blockieren.
0
sierkb10.01.19 17:34
Papaducklake
Kommt noch dazu, dass Redakteure bald von Luft und Liebe leben müssen, wenn die Leute die App nicht installieren und im Browser die Werbung blockieren.

Da hat Apple doch was Passendes im Angebot und bewirbt/positioniert seinen App Store mit diesen Worten:
Apple, Apple Search Ads
Erreiche interessierte, wertvolle Benutzer mit der kostengünstigsten mobilen Werbeplattform am Markt. …
Q: Apple Search Ads
0
ratti10.01.19 17:53
Papaducklake
Kommt noch dazu, dass Redakteure bald von Luft und Liebe leben müssen, wenn die Leute die App nicht installieren und im Browser die Werbung blockieren.

Wir hatten mal ein werbefreies Internet, und die Inhalte kamen von Leuten, die daran Spaß hatten.

Dann fanden Firmen, es müsse hier doch ein „Geschäftsmodell“ geben. Gab es eigentlich nicht, weil alles umsonst war, aber man hatte eine tolle Idee: Man pumpte einfach Kohle auf Verlust rein. Von der Kohle konnte man natürlich Leute bezahlen, bessere Server bezahlen, SEO bezahlen.

Damit hat man es dann erfolgreich geschafft, so ziemlich alles aus dem Web zu kegeln, was nicht gewinnorientiert war. Webringe, private Websites auf der ersten Seite bei Google, Linklisten, redaktionelle Verzeichnisse — alles weggekloppt von Unternehmen, die auf Verlust Geld in SEO und Content reinpumpen.

JETZT stellt man fest, das so langsam mal Zahltag ist und setzt die Melkmaschine an. Und da der User immer noch nicht zahlt, geht man den Umweg über Werbung und Lobbyarbeit. Soweit, dass der Springer Verlag sogar Adblocker kriminalisiert.

Da war von Anfang kein Geschäftsmodell! Die Firmen stehen mitten im Bayrischen Wald und versuchen, Frischluft in Dosen zu verkaufen. DIE machen MEIN Internet kaputt, nicht umgekehrt. Pleite gehen? Ja, hoffentlich!

Meiner Meinung nach gehört Werbung als Finanzierungsmethode verboten. Leistung gegen Geld. Das würde den Anbietern, den Usern und den Inhalten gut tun. Nachrichten haben sich zu einer Art ärgerlicher Begleiterscheinung entwickelt, die man halt braucht, um Werbung an den Nutzer zu bringen. Der Nutzer oder die Werbung sind, je nach Perspektive, das Produkt. Nicht mehr die Nachrichten. Und das ist schauderhaft. „Er ahnte nicht, was als nächstes geschah…“

(Im übrigen mache ich es den deutschen Onlinemedien zum Vorwurf, dass sie es n ie geschafft haben, ein Unternehmensübergreifendes Abo-Bezahlmodell zu implementieren, ausserdem im Vergleich zu z.B. den USA horrend abenteuerliche Abo-Preise abrufen, immer noch Komplettabos verkaufen wollen statt per view, und anstelle von Innovation lieber Lobbyismus betreiben.)

Der hungernde Redakteur soll sich also bitte bei seinem Chef beschweren, der nur zwei Sorten von Krebs kennt: Werbung und Bento-„Journalismus“. Man weiss nicht, welches der beiden ekliger ist.
+1
Papaducklake10.01.19 20:04
Ich bezahle monatlich 30€ für eine 2,5Mbit Leitung. Selbst hätte ich eine Leitung die Zeitgemäß wäre finde ich das gut bezahlt. Das ist für mich Leistung gegen Geld und von der Summe kann man gerne einen Teil an die Seiten verteilen, die ich nutze. Werbung nervt, klar, ist aber vermutlich das kleinere Übel. Was passiert denn wohl wenn Werbung im Internet nicht mehr funktioniert? Dann muss ich neben Amazon Prime, Netflix und Spotify demnächst auch noch Youtube, MTN, Formel1.de etc abonnieren. Das kann ich mir dann irgendwann nicht mehr leisten. Selbst wenn Seiten wie MTN mit ca. 15€? recht günstig erscheinen würde sich das doch extrem läppern. Da schau ich mir lieber etwas Werbung an.
0
ratti10.01.19 23:59
Papaducklake
Selbst wenn Seiten wie MTN mit ca. 15€? recht günstig erscheinen würde sich das doch extrem läppern.

Das „Basic“ Abo der New York Times kostet 1€ pro Woche. Und das ist eine „echte“ dicke Zeitung, mit Korrespondenten und allem drum und dran.

Man weiss nicht, auf was für einem goldenen Pudel deutsche Zeitungen reiten, dass sie allen ernstes meinen, man würde pro Monat 25 Euro (Hamburger Abendblatt) , 20 Euro (Spiegel), 16 Euro (taz) oder wow, 32 Euro (Frankfurter Rundschau) zahlen.

Bei 1 Euro pro Woche für die NYT darf sich MTN, sorry Jungs, maximal 20 Cent nehmen. Um da mal in der Balance zu bleiben.

Technisch völlig unnötig und überholt ist darüber hinaus, dass man „die ganze Zeitung“ kaufen muss: Sport, Auto, Lifestyle, Promi-Homestory: Warum muss ich den Scheiss doch gleich nochmal mitbezahlen, wenn ich was über Politik und Wissenschaft lesen will?
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen