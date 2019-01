Eine kostenlos für das iPhone angebotene Paket-Tracking-App setzt auf eine ungewöhnliche Methode, um die Lieferungen der Nutzer zu verfolgen: Sobald man "Parcels - Sendungsverfolgung" öffnet, ruft die App offenbar die von anderen Nutzern hinterlegten Tracking-Informationen von einem Server ab und verwendet das iPhone – ohne Wissen des Anwenders – um dann die Abfragen zu diesen Lieferinformationen für Dritte durchzuführen.

Fremde Tracking-Nummern werden durch die iPhone-App geschleust

Damit werde jedes Smartphone mit der App praktisch zum Bot in einem Botnetz des App-Anbieters, wie der Entwickler Guilherme Rambo auf 9to5Mac ausführt, der das Verhalten der App analysiert hat.

Die Übertragung der Tracking-Informationen erfolgt im Klartext, schreibt Rambo, so dass ein Mitlesen der Paketnummern problemlos möglich sei: Innerhalb einer Stunde habe er so allein 52 Tracking-Anfragen von Fremden sammeln können. Die Methode werde von der App wohl eingesetzt, um eine erfolgreiche Abfrage von Lieferinformationen vieler verschiedener Anbieter zu ermöglichen, die teils auch keine API dafür anbieten. Auf diese Weise läuft der Server des App-Anbieters nicht in Gefahr ausgesperrt zu werden, da die Anfragen von vielen verschiedenen Geräten und IP-Adressen erfolgen, erklärt Rambo.

Mechanismus könnte für DDoS-Angriffe missbraucht werden

Die App benutzt den Mechanismus im Moment wohl nur dazu, um Paketlieferungen zu verfolgen. Das gewählte Vorgehen sei problematisch in Hinblick auf den Datenschutz der Nutzer und verstoße wohl auch gegen Apples App-Store-Richtlinien, betont Rambo. Die App könne zudem jederzeit angepasst werden, um etwa DDoS-Angriffe oder auch Klick-Betrug bei Werbebannern durchzuführen – falls sie auf genug iPhones zum Einsatz kommen sollte. Parcels ist in Apples App Store mit einer Bewertung von fast fünf Sternen auffällig gut bewertet, wie oft die App heruntergeladen wurde, bleibt unklar.

Die ebenfalls angebotene Android-Version des Paket-Trackers wurde bislang nicht analysiert, sie setzt möglicherweise auf die gleiche Methode. 9to5Mac hat die App an Apple gemeldet, bislang ist diese aber unverändert im App Store zum Download erhältlich.

