Meitu
Bildquelle: 422737, thx! (CC0 1.0)

Meitu: Beliebte Foto-App aus China hat Sicherheitsrisiken

Die immer beliebter werdende Foto-App Meitu soll Selfies und andere Bilder mit Filtern verschönern, genehmigt sich dafür aber unnötig viele Berechtigungen.

Die neue Konkurrenz zu Instagram, Snapchat und Co. kommt aus China und nennt sich „Meitu“. Doch setzt sich jeder Nutzer, der sich die App aufs Smartphone lädt, einem Risiko aus. Die Experten von chip.de berichten von einem „großen Datenhunger“, der unter anderem mit Infos über die SIM-Karte gestillt werden soll.

Meitu mit erheblichen Sicherheitslücken

In China ist Meitu schon länger beliebt. Im Dezember ging die gleichnamige Firma mit einem Wert von 5,2 Milliarden Dollar (4,8 Milliarden Euro) in Hongkong an die Börse. Wer seine Selfies mit Hilfe von Filtern verschönern möchte, kann diese App dafür nutzen. Sie erlaubt jedoch nicht nur ausgewählte Filter, sondern bietet gleich die komplette Bearbeitung des Fotos an. So ist eine manuelle Augenvergrößerung genau so möglich wie das digitale Abnehmen, aber auch direkte Änderungen, wie das Malen im Bild unterstützt die App. Auch verändert Meitu Porträtfotos auf künstlerische Weise. Aus Menschen werden Anime-Figuren. Dabei ist die kitischige Ästhetik eigentlich einem fernöstlichen Schönheitsstandard geschuldet. Große Augen gehören dort ebenso zur Norm wie eine praktisch texturlose Haut. Was in China zum Standard-Selfie gehört, hat sich hier aber noch nicht durchsetzen können – bis jetzt.

Seit einigen Tagen ist die kostenlose App Meitu auch in Europa und den USA erhältlich, für Android-Smartphones und das iPhone. Nun erobert Meitu auch unsere Welt im Sturm, bei Instagram gehen unter dem Hashtag im Minutentakt neue Bilder ein. Auf Google Play wurde die App schon über zehn Millionen Mal heruntergeladen. In der Heimat China hält der Meitu-Hype schon länger an, die App hat derzeit 52 Millionen aktive Nutzer am Tag. Auch die Internet-Community hat die Anwendung bereits für sich entdeckt: Der neueste Trend ist es, nicht die eigenen Fotos zu bearbeiten, sondern Bilder von Prominenten oder fiktiven Personen.

App will Zugriff auf alles mögliche

Dass Meitu Zugriff auf Dateien und Fotos sowie die Kamera verlangt, ist nicht weiter erstaunlich. Beides wird für die Bildbearbeitung benötigt. Jedoch fordert die App über 20 Berechtigungen bei der Installation ab und verlangt so zusätzlich auch nach Informationen zum eigenen Standort und Rechten für die Telefonfunktion. Damit kann sie Informationen über die SIM-Karte einsehen. Unter iOS kann sie weiterhin ermitteln, ob das Handy gejailbreakt wurde. Die App enthält Tracking-Code, der das Modell des Geräts, die Android-Version, die MAC-Adresse etc. abruft, sie soll Code von Drittanbietern enthalten und versuchen, an die einzigartige IMEI-Nummer des Geräts zu kommen.

Der Experte Jonathan Zdziarski hat sich Teile des Quellcodes der iOS-App angeschaut. Dabei stellte er fest, dass die App nicht nur analysiert, ob ein iPhone einem Jailbreak unterzogen wurde, sondern dass sie auch Codes von Dritten enthält und so versucht, an die IMEI- und IMSI-Nummern zu gelangen. IMEI ist die individuelle Gerätenummer, IMSI dient der eindeutigen Identifizierung von Teilnehmern in einem Mobilfunknetzwerk. Apples iOS blockiert zwar den Zugriff auf diese persönlichen Daten, doch Meitu sammelt dennoch Informationen über den jeweiligen Provider, die iOS- und Geräteversion und erstellt für jeden Nutzer eine individuelle ID.

Hersteller weist Vorwürfe von sich

Eine vorläufige Analyse der iOS-Ausgabe durch den Sicherheitsfachmann Will Strafach ergab, dass der Datenhunger des Programms sich zumindest derzeit allerdings innerhalb der Norm für derlei Programme bewegt. Sicherheitsforscher Greg Linares von Vectra Networks meint, diese Daten seien nicht unbedingt nötig, um die eigentlichen Funktionen von Meitu zu gewährleisten. Laut anderen Experten soll Meitu diverse Analysetools und Adware mitbringen, die der eigentliche Grund für die angeforderte Rechtevielfalt sein könnten. Eine Analyse der Android-Version steht noch aus.

Meitu hat auf die Anschuldigungen reagiert. Gegenüber CNet erklären die Entwickler, keinen Handel mit Nutzerdaten zu betreiben. Gleichzeitig geben sie an, aufgrund von Beschränkungen durch die chinesische Regierung für manche Funktionen den Umweg über Drittanbieter gehen zu müssen. Die Trackingtools seien integriert, da man in China ansässig sei. Dort werden die von Apple bereitgestellten Analysetools blockiert. Daher greife man auf Drittanbieter zurück, um Informationen über Nutzung und Probleme mit der App zu erhalten. Der Google Play Store ist komplett gesperrt. Daher verwende man einen alternativen Service, um Pushbenachrichtigungen auszuliefern. Die Erkennung von Jailbreaks von iPhones sei notwendig, um das Teilen von Fotos über den Messenger Wechat zu ermöglichen.

Fazit

Meitu ist zwar bei weitem nicht die einzige App, die auf viele persönliche Daten Zugriff erhalten möchte. Doch durch den immensen Erfolg in den letzten Wochen erzielte das chinesische Produkt eine sehr große Reichweite. Nutzer sollten sich daher vor der Installation von Meitu fragen, ob die spaßigen Bilder eine derart umfangreiche Datensammlung wert sind. Auch wenn aktuell nichts über “Missbrauch” bekannt ist, sollte man von dieser App wohl besser Abstand nehmen.

Tarnkappe.info

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.