Samsung und Vlingo: gehen Daten an die US Homeland Security?
von caschy | 30 Kommentare
Wäre ja ein dickes Ding, wenn das stimmen würde, was der Jörg Voss da zusammen getragen hat. Ich fange mal von Anfang an. Im Januar dieses Jahres entdeckte Jörg, dass Samsung und Vlingo (sorgen für Samsungs S-Voice) wohl im großen Stil Daten gesammelt haben. Neben Standort und IMEI-Nummer wurden auch die Kontakte teils unverschlüsselt auf die fremden Server übertragen.
Ebenfalls unter den Daten Musiktitel inklusive Interpret, Titel, Speicherort, Genre, Jahr auf der SD-Karte. In den Datenschutzbestimmungen lässt sich wohl nachlesen, dass Daten übertragen werden, teilweise wurden aber schon vorab Daten übertragen.
Wer sich für den damaligen Fall interessiert, der kann dies hier tun. Kurzform: Es ging um die Sprachsteuerung aus dem Hause Vlingo, die bereits Daten nach Hause schickt, bevor der Benutzer die normalerweise zunächst zu bestätigenden Datenschutz-Richtlinien und sonstigen übliche Disclaimer bestätigt hat. Aufgrund dieser Entdeckungen wurden von Vlingo neue Datenschutzbestimmungen veröffentlicht – Samsung schwieg.
Und was hat Jörg nun wieder gefunden? Die Nutzer der auf den Samsung Android-Smartphones vorinstallierten App S-Voice sowie Nutzer der Original Vlingo App sollen mal wieder bespitzelt werden. Weiterhin werden Daten unverschlüsselt an Server übermittelt. Diese Daten werden an folgende URL übermittelt: http://samsungq2asr.vlingo.com. Hinter dieser Domain befinden sich 5 IPs.
Das habe ich mal nachvollzogen – sieht man ja im Screenshot, realisiert mit einem nslookup. Mittels Reverse Lookup ergibt sich daraus folgender Host: system149.dhs.gov.
Heißt was? Ruft mal die Haupt-Domain auf. dhs.gov – das ist die amerikanische Homeland Security. Ich bin mal gespannt, was da raus kommt. Beim letzten Mal hat die Vlingo-Sache ordentlich Wind gemacht, das ging um die Welt und die Macher gaben eine Pressemitteilung heraus, warum alles so passierte. Ich harre mal der Dinge, die da so kommen – im Zweifel für den Angeklagten – wahrscheinlich ist es nur ein (absichtlich?) falsch konfigurierter Server. Mal schauen, ob Vlingo tatsächlich wieder mal in ein tiefes Fettnäpfchen getreten ist – und vor allem, was man bei Samsung dazu sagt. Dürfte nach Verkaufs- und Downloadzahlen ja weit über 50 Millionen Geräte betreffen.
Update 27.12.2012:
Von Jörg:
Heute Nacht bekam ich eine Antwort von Samsung aus Korea zu meiner Anfrage. Es scheint laut Auskunft von Samsung so zu sein, das der ISP von Vlingo/Nuance die entsprechenden Records nicht upgedatet hatte. Nun ist das erledigt und die entsprechenden Reverse lookups zeigen schon nicht mehr auf dhs.gov sondern jetzt korrekt auf vlingo.com.
Wird geladen ...
Mist, mein erster Kommentar ist nicht angekommen. Nochmal als Kurzfassung:
Die IPs gehören Verizon Business und wurden von diesen Vlingo zugeteilt:
https://ipdb.at/ip/63.116.58.131
bzw.
https://ipdb.at/isp/Verizon_Business
Eine https-Verbindung zu 63.116.58.131b liefert als Zertifikat
s:/C=US/ST=Massachusetts/L=Cambridge/O=Vlingo Corporation/OU=Operations/CN=*.vlingo.com
Also ein wildcard-Zertifikat für xyz.vlingo.com mit folgenden alternativen Domainnamen:
DNS-Name=*.vlingo.com
DNS-Name=vlingo.com
DNS-Name=samsungvuiasr.vlingo.com
DNS-Name=samsungvuieventlog.vlingo.com
DNS-Name=samsungvuilocalsearch.vlingo.com
DNS-Name=samsungvuisuggest.vlingo.com
DNS-Name=samsungvuitts.vlingo.com
Btw: Es wäre auch ziemlich ungeschickt die Daten direkt vom handy an die Homelandsecurity-server zu schicken, Wesentlich unauffälliger wäre es sie direkt von den vlingo-servern weiterzugeben. Auch wenn es zugegebenermaßen fast genauso ungeschickt ist die Daten unverschlüsselt zu übertragen.
Da die Anfragen ja auf den vlingo-servern verarbeitet werden, müssen sie ja eh dorthin übertragen werden.
Wie schon von mehreren Leuten hier kommentiert, sind falsche reverse-dns Einträge leicht zu erstellen, eventuell haben die IPs ja tastächlich mal Homeland Security gehört und sie haben den provider gewechselt oder die IPs wurden neu verteilt und die alten rdns-einträge wurden vergessen – das hat auch keine weiteren nachteiligen Konsequenzen – also mal abgesehen von Verschwörungstheorien 😉
öhm, jetzt ist der erste Versuch doch noch aufgetaucht – nachdem ich 10 Minuten lang immer wieder aktualisiert hatte. Verstehe es wer will – sorry für den Doppelpost (bzw. jetzt sogar triple *hüstel*) 😉
Naja einiges an unwissen und den Willen verschwörungstheorien zu sehen gehört schon dazu. Wenn ein Konzern daten an XY übertragen will ohne Aufmerksamkeit zu erregen so gibt es bessere Methoden als die genannten. Nur weil der reverse eintrag auf Homeland security verweist bedeutet nichts. Bei einem UK Provider bei dem wir von der Firma her etliche VPNs laufen haben waren die reverse einträge als default auf eine MI6 Domain gelegt. Hat sich wohl ein findiger Admin einen Spaß erlaubt, wurde die Einstellung vom Nutzer vorgenommen war natürlich diese in Kraft und nicht der Default.
Ich will nicht sagen das hier nichts ist, klar besser beobachten, aber man sollte auch die Kirche im Dorf lassen.
krasse nummer
Oder aber Admin von Vlingo hat pflichtbewusst die „Schnüffel-IP“ für Homelandsecurity auch damit benannt…?