Samsung und Vlingo: gehen Daten an die US Homeland Security?

22. Dezember 2012 Kategorie: Android, Backup & Security, geschrieben von: caschy

Wäre ja ein dickes Ding, wenn das stimmen würde, was der Jörg Voss da zusammen getragen hat. Ich fange mal von Anfang an. Im Januar dieses Jahres entdeckte Jörg, dass Samsung und Vlingo (sorgen für Samsungs S-Voice) wohl im großen Stil Daten gesammelt haben. Neben Standort und IMEI-Nummer wurden auch die Kontakte teils unverschlüsselt auf die fremden Server übertragen.

ns2

Ebenfalls unter den Daten Musiktitel inklusive Interpret, Titel, Speicherort, Genre, Jahr auf der SD-Karte. In den Datenschutzbestimmungen lässt sich wohl nachlesen, dass Daten übertragen werden, teilweise wurden aber schon vorab Daten übertragen.

Wer sich für den damaligen Fall interessiert, der kann dies hier tun. Kurzform: Es ging um die Sprachsteuerung aus dem Hause Vlingo, die bereits Daten nach Hause schickt, bevor der Benutzer die normalerweise zunächst zu bestätigenden Datenschutz-Richtlinien und sonstigen übliche Disclaimer bestätigt hat. Aufgrund dieser Entdeckungen wurden von Vlingo neue Datenschutzbestimmungen veröffentlicht – Samsung schwieg.

Und was hat Jörg nun wieder gefunden? Die Nutzer der auf den Samsung Android-Smartphones vorinstallierten App S-Voice sowie Nutzer der Original Vlingo App sollen mal wieder bespitzelt werden. Weiterhin werden Daten unverschlüsselt an Server übermittelt. Diese Daten werden an folgende URL übermittelt: http://samsungq2asr.vlingo.com. Hinter dieser Domain befinden sich 5 IPs.

ns

Das habe ich mal nachvollzogen – sieht man ja im Screenshot, realisiert mit einem nslookup. Mittels Reverse Lookup ergibt sich daraus folgender Host: system149.dhs.gov.

Heißt was? Ruft mal die Haupt-Domain auf. dhs.gov – das ist die amerikanische Homeland Security. Ich bin mal gespannt, was da raus kommt. Beim letzten Mal hat die Vlingo-Sache ordentlich Wind gemacht, das ging um die Welt und die Macher gaben eine Pressemitteilung heraus, warum alles so passierte. Ich harre mal der Dinge, die da so kommen  - im Zweifel für den Angeklagten – wahrscheinlich ist es nur ein (absichtlich?) falsch konfigurierter Server. Mal schauen, ob Vlingo tatsächlich wieder mal in ein tiefes Fettnäpfchen getreten ist – und vor allem, was man bei Samsung dazu sagt. Dürfte nach Verkaufs- und Downloadzahlen ja weit über 50 Millionen Geräte betreffen.

Update 27.12.2012:

Von Jörg:

Heute Nacht bekam ich eine Antwort von Samsung aus Korea zu meiner Anfrage. Es scheint laut Auskunft von Samsung so zu sein, das der ISP von Vlingo/Nuance die entsprechenden Records nicht upgedatet hatte. Nun ist das erledigt und die entsprechenden Reverse lookups zeigen schon nicht mehr auf dhs.gov sondern jetzt korrekt auf vlingo.com.

»

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 15511 Artikel geschrieben.


32 Kommentare

Leser 22. Dezember 2012 um 22:09 Uhr

Scheint wohl eher ein Fall eines falschen (bewußt?) Reverseeintrages zu sein. Laut http://whois.arin.net/rest/ip/63.116.58.159 gehört der ganze Nummernblock VLINGO.

Malte 22. Dezember 2012 um 22:09 Uhr

Ich weiß zwar nicht, wo Du die 159 her hast, da sie bei den 5 IPs nicht auftaucht, aber auch bei den anderen, “echten” IPs für den Domainnamen kommt per Reverse-Lookup “systemXXX.dhs.gov” raus.

Markus 22. Dezember 2012 um 22:14 Uhr

Egal welche IP du hinten nimmst, wie Leser schon sagt, der ganze Block gehört zu wem anders, das ein /24 Netz, also 0-255. Merkwürdig ist es aber trotzdem.

Andreas 22. Dezember 2012 um 22:18 Uhr

warten wir mak, was da kommen mag

zymo 22. Dezember 2012 um 22:27 Uhr

Überrascht? Keineswegs. Schon vor längerem hatte mir mein Informatik Prof. mal gesteckt, dass Daten an diverse U.S. Behörden gehen. Als Beispiel nannte er z.B. Skype, welches Konsequent überwacht wird.

Mogwai 22. Dezember 2012 um 22:30 Uhr

Wundern täte es mich nicht, früher wurden hier Geruchsproben von potentiellen Regimekritikern gesammelt und heute halt Sprachproben. Man weiss ja nie ob man sie nochmal braucht.

Tuxi70 22. Dezember 2012 um 23:20 Uhr

Laut whois auf https://www.dotgov.gov/ gehört die Domain Department of Homeland Security.

Drulli 22. Dezember 2012 um 23:38 Uhr

Schlimm finde ich bei solchen Dingen nicht die Tatsache an sich, sondern dass es uns nicht mehr wirklich überrascht…

Tchooe 22. Dezember 2012 um 23:53 Uhr

Wir haben doch alle nichts zu verbergen, also müssen wir uns darum keine Gedanken machen. Oder?

sibbl 22. Dezember 2012 um 23:57 Uhr

Interessante Entdeckung, aber gefährliches Halbwissen, das Joerg da zusammengetragen hat. DNS Lookup und Reverse Lookup sind zwei relativ verschiedene Paar Schuhe…

Jörg 23. Dezember 2012 um 00:06 Uhr

Das macht mir echt Angst…

Gordon 23. Dezember 2012 um 00:29 Uhr

Egal, ob es stimmt oder nicht – was wären hier schon wieder die Forken geschärft und Fackeln angezündet worden, wenn Apple statt Samsung in der Überschrift stünde…

FlyingT 23. Dezember 2012 um 01:21 Uhr

Interessant ist doch das es zig Internetseiten die im Graubereich aggieren ihre Domain mit whoisguard und co verschleiern aber die Homeland Security arbeitet mit Klarnamen…

cube 23. Dezember 2012 um 03:28 Uhr

hmmm. ALLE IP Adressen (stichprobenhaft geprüft) aus dem Netz lösen auf eine dhs.gov domain auf. prefix besteht immer aus system[viertes Oktett der ip], bis auf die 63.116.58.35 [downloads.vlingo.com]!

Kann es sein das die HS US Firmen ne art Ghost DNS Dienst anbietet ?
nur ne idee, bin kein Fachmann

Hartmut Schmidt 23. Dezember 2012 um 09:50 Uhr

Wie schon mehrfach geschrieben (aber nicht erklärt):
DNS-Reverse-Einträge macht der Inhaber der IP-Adressen. Und dort kann man reinschreiben, was man will!
Ich kann meine IPs auch dhs.stadt-bremerhaven.de oder stadt-bremerhaven.de.dhs.gov nenne.

Zumindest wenn ich direkten Zugriff auf den für mein IP-Netz zuständigen Nameserver habe. Die Webinterfaces einiger DNS-Anbieter erlauben derartige Späße nicht.

Christian 23. Dezember 2012 um 10:38 Uhr

@Hartmut Schmidt
Das das geht, sollte klar sein, aber warum sollte ein Unternehmen das in seinen Nameserver reinpacken?

Tchooe 23. Dezember 2012 um 10:45 Uhr

Das eigentlich Interessante ist aber, wie aus caschys Frage in den zitierenden Blogs schon ein Fakt wird. Da heißt es dann nicht mehr

„Samsung und Vlingo: gehen Daten an die US Homeland Security?“

mit Fragezeichen, sondern zum Beispiel

„Spionage: Samsungs S-Voice & Vlingo senden Daten an US Homeland Security“.

Das finde ich im höchsten Maße bedenklich, zeigt es doch erstens, wie unreflektiert und aufmerksamkeitsheischend manche Blogger mit nicht gesicherten Informationen umgehen und zweitens, wie leicht es im goldenen Zeitalter des Jedermann-Internets möglich ist, die breite Öffentlichkeit mit Falschinformationen zu versorgen.

wech 23. Dezember 2012 um 11:09 Uhr

Laut https://ipdb.at/isp/Verizon_Business gehört der Block “Verizon Business”.
Ich gehe auch von einem falschen Reverse-DNS-Eintrag aus. Oder dhs.gov läuft auf dem gleichen Host wie vlingo, was allerdings echt kläglich wäre ;-)

Eine https-Verbindung liefert übrigens auch das Zertifikat für samsungs vlingo. Da für reine SSL-Verbindungen (kein TLS) aber pro ip-adresse nur ein Zertifikat ausgeliefert werden kann, kann da kein anderer server laufen.

subject=/C=US/ST=Massachusetts/L=Cambridge/O=Vlingo Corporation/OU=Operations/CN=*.vlingo.com, also ein wildcard-Zertifikat für vlingo.com.

“Alternativer Antragstellername” aus dem Zertifikat:
DNS-Name=*.vlingo.com
DNS-Name=vlingo.com
DNS-Name=samsungvuiasr.vlingo.com
DNS-Name=samsungvuieventlog.vlingo.com
DNS-Name=samsungvuilocalsearch.vlingo.com
DNS-Name=samsungvuisuggest.vlingo.com
DNS-Name=samsungvuitts.vlingo.com

So schön Verschwörungstheorien immer sind, wenn von zwei Möglichkeiten eine unwahrscheinlicher erscheint, ist fast immer die einfachere die richtige ;-)

PS:ich fände es auch ungeschickt die Daten direkt vom handy an die Überwacher zu schicken, das geht viel besser und unbemerkt direkt vom eigenen Server aus ;-)

PPS: Die Daten unverschlüsselt zu übertragen íst allerdings auch ziemlich ungeschickt

wech 23. Dezember 2012 um 11:28 Uhr

Ah, und noch was: system131.dhs.gov wird liefert keine IP Adresse, löst also nicht wieder zu 63.116.58.131 auf. Ein weiterer Indikator dass da was falsch konfiguriert ist.

wech 23. Dezember 2012 um 11:39 Uhr

Mist, mein erster Kommentar ist nicht angekommen. Nochmal als Kurzfassung:

Die IPs gehören Verizon Business und wurden von diesen Vlingo zugeteilt:

https://ipdb.at/ip/63.116.58.131
bzw.
https://ipdb.at/isp/Verizon_Business

Eine https-Verbindung zu 63.116.58.131b liefert als Zertifikat

s:/C=US/ST=Massachusetts/L=Cambridge/O=Vlingo Corporation/OU=Operations/CN=*.vlingo.com

Also ein wildcard-Zertifikat für xyz.vlingo.com mit folgenden alternativen Domainnamen:
DNS-Name=*.vlingo.com
DNS-Name=vlingo.com
DNS-Name=samsungvuiasr.vlingo.com
DNS-Name=samsungvuieventlog.vlingo.com
DNS-Name=samsungvuilocalsearch.vlingo.com
DNS-Name=samsungvuisuggest.vlingo.com
DNS-Name=samsungvuitts.vlingo.com

Btw: Es wäre auch ziemlich ungeschickt die Daten direkt vom handy an die Homelandsecurity-server zu schicken, Wesentlich unauffälliger wäre es sie direkt von den vlingo-servern weiterzugeben. Auch wenn es zugegebenermaßen fast genauso ungeschickt ist die Daten unverschlüsselt zu übertragen.

Da die Anfragen ja auf den vlingo-servern verarbeitet werden, müssen sie ja eh dorthin übertragen werden.

Wie schon von mehreren Leuten hier kommentiert, sind falsche reverse-dns Einträge leicht zu erstellen, eventuell haben die IPs ja tastächlich mal Homeland Security gehört und sie haben den provider gewechselt oder die IPs wurden neu verteilt und die alten rdns-einträge wurden vergessen – das hat auch keine weiteren nachteiligen Konsequenzen – also mal abgesehen von Verschwörungstheorien ;-)

wech 23. Dezember 2012 um 11:42 Uhr

öhm, jetzt ist der erste Versuch doch noch aufgetaucht – nachdem ich 10 Minuten lang immer wieder aktualisiert hatte. Verstehe es wer will – sorry für den Doppelpost (bzw. jetzt sogar triple *hüstel*) ;)

solariz 23. Dezember 2012 um 12:08 Uhr

Naja einiges an unwissen und den Willen verschwörungstheorien zu sehen gehört schon dazu. Wenn ein Konzern daten an XY übertragen will ohne Aufmerksamkeit zu erregen so gibt es bessere Methoden als die genannten. Nur weil der reverse eintrag auf Homeland security verweist bedeutet nichts. Bei einem UK Provider bei dem wir von der Firma her etliche VPNs laufen haben waren die reverse einträge als default auf eine MI6 Domain gelegt. Hat sich wohl ein findiger Admin einen Spaß erlaubt, wurde die Einstellung vom Nutzer vorgenommen war natürlich diese in Kraft und nicht der Default.

Ich will nicht sagen das hier nichts ist, klar besser beobachten, aber man sollte auch die Kirche im Dorf lassen.

Niemand Keiner 5. Januar 2013 um 22:11 Uhr

Oder aber Admin von Vlingo hat pflichtbewusst die “Schnüffel-IP” für Homelandsecurity auch damit benannt…?


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.