Samsung und Vlingo: gehen Daten an die US Homeland Security?
Wäre ja ein dickes Ding, wenn das stimmen würde, was der Jörg Voss da zusammen getragen hat. Ich fange mal von Anfang an. Im Januar dieses Jahres entdeckte Jörg, dass Samsung und Vlingo (sorgen für Samsungs S-Voice) wohl im großen Stil Daten gesammelt haben. Neben Standort und IMEI-Nummer wurden auch die Kontakte teils unverschlüsselt auf die fremden Server übertragen.
Ebenfalls unter den Daten Musiktitel inklusive Interpret, Titel, Speicherort, Genre, Jahr auf der SD-Karte. In den Datenschutzbestimmungen lässt sich wohl nachlesen, dass Daten übertragen werden, teilweise wurden aber schon vorab Daten übertragen.
Wer sich für den damaligen Fall interessiert, der kann dies hier tun. Kurzform: Es ging um die Sprachsteuerung aus dem Hause Vlingo, die bereits Daten nach Hause schickt, bevor der Benutzer die normalerweise zunächst zu bestätigenden Datenschutz-Richtlinien und sonstigen übliche Disclaimer bestätigt hat. Aufgrund dieser Entdeckungen wurden von Vlingo neue Datenschutzbestimmungen veröffentlicht – Samsung schwieg.
Und was hat Jörg nun wieder gefunden? Die Nutzer der auf den Samsung Android-Smartphones vorinstallierten App S-Voice sowie Nutzer der Original Vlingo App sollen mal wieder bespitzelt werden. Weiterhin werden Daten unverschlüsselt an Server übermittelt. Diese Daten werden an folgende URL übermittelt: http://samsungq2asr.vlingo.com. Hinter dieser Domain befinden sich 5 IPs.
Das habe ich mal nachvollzogen – sieht man ja im Screenshot, realisiert mit einem nslookup. Mittels Reverse Lookup ergibt sich daraus folgender Host: system149.dhs.gov.
Heißt was? Ruft mal die Haupt-Domain auf. dhs.gov – das ist die amerikanische Homeland Security. Ich bin mal gespannt, was da raus kommt. Beim letzten Mal hat die Vlingo-Sache ordentlich Wind gemacht, das ging um die Welt und die Macher gaben eine Pressemitteilung heraus, warum alles so passierte. Ich harre mal der Dinge, die da so kommen – im Zweifel für den Angeklagten – wahrscheinlich ist es nur ein (absichtlich?) falsch konfigurierter Server. Mal schauen, ob Vlingo tatsächlich wieder mal in ein tiefes Fettnäpfchen getreten ist – und vor allem, was man bei Samsung dazu sagt. Dürfte nach Verkaufs- und Downloadzahlen ja weit über 50 Millionen Geräte betreffen.
Update 27.12.2012:
Von Jörg:
Heute Nacht bekam ich eine Antwort von Samsung aus Korea zu meiner Anfrage. Es scheint laut Auskunft von Samsung so zu sein, das der ISP von Vlingo/Nuance die entsprechenden Records nicht upgedatet hatte. Nun ist das erledigt und die entsprechenden Reverse lookups zeigen schon nicht mehr auf dhs.gov sondern jetzt korrekt auf vlingo.com.
Hammer!
Scheint wohl eher ein Fall eines falschen (bewußt?) Reverseeintrages zu sein. Laut http://whois.arin.net/rest/ip/63.116.58.159 gehört der ganze Nummernblock VLINGO.
Ich weiß zwar nicht, wo Du die 159 her hast, da sie bei den 5 IPs nicht auftaucht, aber auch bei den anderen, „echten“ IPs für den Domainnamen kommt per Reverse-Lookup „systemXXX.dhs.gov“ raus.
Egal welche IP du hinten nimmst, wie Leser schon sagt, der ganze Block gehört zu wem anders, das ein /24 Netz, also 0-255. Merkwürdig ist es aber trotzdem.
warten wir mak, was da kommen mag
Überrascht? Keineswegs. Schon vor längerem hatte mir mein Informatik Prof. mal gesteckt, dass Daten an diverse U.S. Behörden gehen. Als Beispiel nannte er z.B. Skype, welches Konsequent überwacht wird.
Wundern täte es mich nicht, früher wurden hier Geruchsproben von potentiellen Regimekritikern gesammelt und heute halt Sprachproben. Man weiss ja nie ob man sie nochmal braucht.
Laut whois auf https://www.dotgov.gov/ gehört die Domain Department of Homeland Security.
Schlimm finde ich bei solchen Dingen nicht die Tatsache an sich, sondern dass es uns nicht mehr wirklich überrascht…
Wir haben doch alle nichts zu verbergen, also müssen wir uns darum keine Gedanken machen. Oder?
Interessante Entdeckung, aber gefährliches Halbwissen, das Joerg da zusammengetragen hat. DNS Lookup und Reverse Lookup sind zwei relativ verschiedene Paar Schuhe…
Das macht mir echt Angst…
Egal, ob es stimmt oder nicht – was wären hier schon wieder die Forken geschärft und Fackeln angezündet worden, wenn Apple statt Samsung in der Überschrift stünde…
Interessant ist doch das es zig Internetseiten die im Graubereich aggieren ihre Domain mit whoisguard und co verschleiern aber die Homeland Security arbeitet mit Klarnamen…
hmmm. ALLE IP Adressen (stichprobenhaft geprüft) aus dem Netz lösen auf eine dhs.gov domain auf. prefix besteht immer aus system[viertes Oktett der ip], bis auf die 63.116.58.35 [downloads.vlingo.com]!
Kann es sein das die HS US Firmen ne art Ghost DNS Dienst anbietet ?
nur ne idee, bin kein Fachmann
Wie schon mehrfach geschrieben (aber nicht erklärt):
DNS-Reverse-Einträge macht der Inhaber der IP-Adressen. Und dort kann man reinschreiben, was man will!
Ich kann meine IPs auch dhs.stadt-bremerhaven.de oder stadt-bremerhaven.de.dhs.gov nenne.
Zumindest wenn ich direkten Zugriff auf den für mein IP-Netz zuständigen Nameserver habe. Die Webinterfaces einiger DNS-Anbieter erlauben derartige Späße nicht.
@Hartmut Schmidt
Das das geht, sollte klar sein, aber warum sollte ein Unternehmen das in seinen Nameserver reinpacken?
Das eigentlich Interessante ist aber, wie aus caschys Frage in den zitierenden Blogs schon ein Fakt wird. Da heißt es dann nicht mehr
„Samsung und Vlingo: gehen Daten an die US Homeland Security?“
mit Fragezeichen, sondern zum Beispiel
„Spionage: Samsungs S-Voice & Vlingo senden Daten an US Homeland Security“.
Das finde ich im höchsten Maße bedenklich, zeigt es doch erstens, wie unreflektiert und aufmerksamkeitsheischend manche Blogger mit nicht gesicherten Informationen umgehen und zweitens, wie leicht es im goldenen Zeitalter des Jedermann-Internets möglich ist, die breite Öffentlichkeit mit Falschinformationen zu versorgen.
Laut https://ipdb.at/isp/Verizon_Business gehört der Block „Verizon Business“.
Ich gehe auch von einem falschen Reverse-DNS-Eintrag aus. Oder dhs.gov läuft auf dem gleichen Host wie vlingo, was allerdings echt kläglich wäre 😉
Eine https-Verbindung liefert übrigens auch das Zertifikat für samsungs vlingo. Da für reine SSL-Verbindungen (kein TLS) aber pro ip-adresse nur ein Zertifikat ausgeliefert werden kann, kann da kein anderer server laufen.
subject=/C=US/ST=Massachusetts/L=Cambridge/O=Vlingo Corporation/OU=Operations/CN=*.vlingo.com, also ein wildcard-Zertifikat für vlingo.com.
„Alternativer Antragstellername“ aus dem Zertifikat:
DNS-Name=*.vlingo.com
DNS-Name=vlingo.com
DNS-Name=samsungvuiasr.vlingo.com
DNS-Name=samsungvuieventlog.vlingo.com
DNS-Name=samsungvuilocalsearch.vlingo.com
DNS-Name=samsungvuisuggest.vlingo.com
DNS-Name=samsungvuitts.vlingo.com
So schön Verschwörungstheorien immer sind, wenn von zwei Möglichkeiten eine unwahrscheinlicher erscheint, ist fast immer die einfachere die richtige 😉
PS:ich fände es auch ungeschickt die Daten direkt vom handy an die Überwacher zu schicken, das geht viel besser und unbemerkt direkt vom eigenen Server aus 😉
PPS: Die Daten unverschlüsselt zu übertragen íst allerdings auch ziemlich ungeschickt
Ah, und noch was: system131.dhs.gov wird liefert keine IP Adresse, löst also nicht wieder zu 63.116.58.131 auf. Ein weiterer Indikator dass da was falsch konfiguriert ist.