TrueCaller-App gefährdet Journalisten und deren Quellen

Die App Truecaller samt dem dahinter stehenden Dienst gefährdet die Privatsphäre und Vertraulichkeit von Personen wie z.B. Journalisten. Hintergrund ist eine Speicherung von Informationen in einer Datenbank, selbst wenn die Personen die App oder den Dienst nie verwendet haben.


Anzeige

Der Fall zeigt exemplarisch, wie alles und jedes mittlerweile in das Leben einzelner Personen eingreift. Facebook und WhatsApp haben es bereits gezeigt – es wurden Adressbücher mit Telefonnummern und E-Mails von Personen zu den Diensten hochgeladen, obwohl diese niemals diese sozialen Netzwerke oder Apps genutzt haben. Ähnlich ist der Fall, der hier beschrieben wird.

Anonymität per App enttarnt

Eine investigative für The Inquirier tätige Journalistin war für eine Recherche für das Nachrichtenmagazin in Afrika unterwegs. Auch wenn sie an vielen TV-Dokumentationen über Menschenhandel bis hin zu Berichten über Drogenkartellen mitarbeitete, kennt kaum jemand ihren Namen und ihre Funktion. Die Journalistin tut alles, um ihre Anonymität und damit auch ihre Quellen zu schützen. 

Datenleck
(Quelle: Pexels Mateusz Dach)

Die Journalistin, nennen wir sie Chloe, erscheint nicht vor der Kamera und nutzt Social Media kaum. Niemand kann per Online-Suche herausfinden, dass sie für The Inquirer arbeitet. Diese Anonymität ermöglichte ihr, sich den Quellen zu nähern, ohne Verdacht oder Bedenken zu erregen. Bei Bedarf ermöglicht es ihr auch, eine verdeckte Berichterstattung durchzuführen.

In Februar 2019 reist Chloe in ein Land in Westafrika, um das Vertrauen mehrerer Quellen zu gewinnen, die sich in extrem sensiblen Positionen befinden. Bei der Ankunft im Land kauft sie eine lokale SIM-Karte, die benutzt werden sollte, um mit ihren Quellen zu kommunizieren. Sie hat im Vorfeld abgeprüft, dass die von ihr in der Recherche tangierten Personen keine staatlichen Akteure sind und keine technischen Ressourcen zur Überwachung der Kommunikation haben.

Nach einigen Telefonaten bestellt sie sich eines Tages ein Taxi, um eine Quelle zu treffen. Das Taxi-Unternehmen gab die Telefonnummer des Handys an den Taxifahrer weiter, der sie anrief, um die Ankunftszeit zu bestätigen. So weit, so normal. Als sie in das Taxi steigt, begrüßt der Fahrer sie: "Also…. arbeitest du für den Inquirer?". Da die Journalistin auf Anonymität bedacht war, stutzte sie – wie wusste der Fahrer das?

Dieser zeigt auf Nachfrage auf sein Telefon. Die Telefonnummer der Journalistin wurde auf dem Telefon des Fahrers als "Chloe The Inquirer Journalist" angezeigt. Chloe fertigte ein Foto des Telefons, verlässt das Taxi und ruft das Informationssicherheitsteam des Inquirers an, um herauszufinden, was passiert ist und wie sie enttarnt wurde. Das infosec-Team identifiziert sofort die Schwachstelle.

Es ist keine Folge einer staatlichen Massenüberwachung oder eines gezielten Angriffs zur Aufdeckung der Identität der Journalistin. Es ist ein Lehrstück, wie Apps, die wir schätzen, nicht nur uns selbst, sondern auch diejenigen um uns herum gefährden können. Tatsächlich wurde Chloe von einer App enttarnt, von der sie noch nie gehört hatte: TrueCaller.


Anzeige

Die TrueCaller–App

TrueCaller ist eine App, die besonders in Indien (dem größten Markt der App und dem Hauptsitz des Unternehmens) und Afrika südlich der Sahara beliebt ist. TrueCaller identifiziert die anrufenden Nummern, so dass Telefonbesitzer unerwünschte Anrufe herausfiltern und sicherstellen können, dass Sie einen erwarteten Anruf entgegennehmen, auch wenn sie die Nummer nicht vorher registriert haben. Jedes Mal, wenn ein Benutzer einen Anruf von einer Nummer tätigt oder erhält, die noch nicht in der TrueCaller-Datenbank vorhanden ist, bietet TrueCaller dem Benutzer die Möglichkeit, die Nummer zu "markieren", damit sie in die TrueCaller-Datenbank unter dem vom Benutzer eingegebenen Namen eingegeben werden kann.

Bei den Anrufen ihrer Quellen gab sie sich als Mitarbeiterin von The Inquirer zu erkennen und sagte auch, zu was sie recherchiert. Einer der Anrufer muss wohl die TrueCaller-App verwendet haben. Und diese Person hatte am Ende des Anrufs die Möglichkeit genutzt, Chloe als "Chloe The Inquirer Journalist" einzugeben. Dieser war sich der Brisanz wohl nicht bewusst. Damit bekam jeder, der von ihr angerufen wurde, und TrueCaller installiert hatte, die Information angezeigt. Die vermeintliche Anonymität war faktisch aufgehoben.

Ein Blick auf die Website von TrueCaller zeigt zwei Datenschutzrichtlinien – eine für Benutzer mit Sitz in der Europäischen Union (unter der Aufsicht des schwedischen Büros von TrueCaller), die daher durch die Allgemeine Datenschutzverordnung der EU geschützt sind. Und eine für diejenigen, in Ländern mit schwächeren oder keinen Datenschutzbestimmungen leben. Indien, wo TrueCaller seinen Hauptsitz hat, entwickelt sich weiter, verfügt aber immer noch nicht über ein umfassendes Datenschutzkonzept.

Das Problem ist, dass Menschen, die in TrueCaller markiert werden, ggf. nicht geschützt sind, da diese Datenschutzrichtlinien nur explizit TrueCaller-Nutzer schützen; es werden wenig bis keine Informationen darüber bereitgestellt, wie sie sich auf Nicht-Nutzer beziehen, die von den Benutzern der App markiert sind.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu TrueCaller-App gefährdet Journalisten und deren Quellen

  1. oli sagt:

    Äh, also ich würde bei sowas kein Smartphone verwenden, also vor allem auch auf Quellenseite. Es ist dann nämlich wahrscheinlicher, dass sich die Quelle einfach selbst verrät.

    • Günter Born sagt:

      Du weißt das und Profis in diesem Bereich wissen das möglicherweise auch. Aber die Quellen sind keine Profis – und ein investigativer Journalist muss bei Recherchen einfach Wege finden, an die Quellen heran zu kommen. Manches läuft über vertrauenswürdige Mittelsmänner, bis ein direkter Kontakt zustande kommt. Aber nicht immer ist dieser extreme Aufwand erforderlich. Wenn man an einer Story dran ist und mit Recherche beginnt, ist ja oft unklar, wo das endet. Möglicherweise steht am Anfrag nur ein Thema im Raum – beispielsweise 'die Vergabe eines Auftrags zum Aufbau von Infrastruktur xyz'. Man braucht Quellen, die etwas mehr wissen und telefoniert herum. Irgendwann stößt man auf etwas, das krumm ist – und ab da wird es dann kritisch.

      Der Beitrag hatte ja auch mehr das Ziel, aufzuzeigen, was man alles auf dem Radar haben muss und wie Apps ohne eigenes Zutun die Privatsphäre und den Datenschutz untergraben.

      • oli sagt:

        Das Problem ist nicht die App, sondern das Smartphone bzw. die Ausführungen der Betriebssysteme. Ohne Smartphone keine kompromitierenden Apps und keine Überwachung über Betriebssystemfunktionen, Dritt-Apps oder vorinstallierten Hersteller-Apps, so einfach ist das. Wenn es nicht "TrueCaller" ist, dann ist es irgendeine andere der zigtausenden von Apps aus den Stores.

        Natürlich kann man über Imsi-Catcher oder Zugang zum Provider auch normale Handys überwachen/ausspähen. Dem Staat sind da kaum Grenzen gesetzt. Witzigerweise kann man einige Probleme aber wieder durch ordentlich konfigurierte Smartphones und entsprechendem Einsatz von Verschlüsselungstechniken entgegenwirken (was mit nem normalen Handy schwierig wird). Nur dazu muss man auch bereit sein, sich mit den Techniken auseinander zu setzen.

        Ich würde sogar soweit gehen, dass sowas heutzutage zu den Kernkompetenzen von Journalisten in einer vernetzten digitalen Welt zählt. Wir erinnern uns hoffentlich noch an die Snowden-Geschichte, wo Snowden den Journalisten erstmal PGP erklären musste. Ich hoffe, die nächste Generation an Journalisten weiß, wie man Verschlüsselungstechniken einsetzt oder das Betriebssystem des Smartphones anpasst oder gar durch vertrauenswürdige Alternativen ersetzt.

        Wer das nicht kann/will, sollte lieber nen stinknormales Handy nutzen. Wer als Quelle oder Journalist Smartphones einsetzt, sollte wissen was er tut.

      • Chris sagt:

        Liegt das Problem hier nicht völlig anders ?

        Wenn diese Quelle eine App wie True Caller nutzt und dann auch noch den Namen der Journalistin markiert, dann kann die Quelle nicht wirklich um die eigene Sicherheit besorgt sein.

        Es würde meines Wissens auch gar nichts bringen, kein Smartphone zu verwenden. Denn die Identifizeriung läuft über die Tel. Nr..
        Irgenjemand hat immer ein Smartphone. Damit muss man einfach rechnen.

        Der Fehler liegt hier m.M.n. eher bei der Journalistin. Gerade am Anfang einer Recherche würde ich mich niemals mit Real Namen und/oder dem dem realen Zeitungsverlag melden.
        Man muss eben immer damt rechnen, dass irgendwo Information durchsickern oder dass sich Gesprächspartner, deren Vertrauenswürdigkeit man gar nicht kennt, irgendwelche Details merken.
        Eine Journalsitin, die in so einem sensiblen Bereich arbeitet und Erfahrung hat, sollte das wissen. Davon können schließlich Menschleben abhängen, incl. dem Eigenen der Jorunalistin.

        • Knusper sagt:

          Nein, das wird so nicht funktionieren. Wenn ich gefährdete Personen kontaktieren will, muss ich mich irgendwann zu erkennen geben. Gegenseitiges Vertrauen. Ohne das kommt man nicht an Infos. Das ist leider auch für einen selbst gefährlich. Diese Argumente, kein Telefon/Smartphone zu nutzen usw. ziehen nicht wirklich, wenn man bestimmte Regeln beachtet, was sie bestimmt hat.
          Und das ist nicht böse gemeint, als Eremit mag man vielleicht sicherer sein, aber man kann in der heutigen Welt nicht mehr arbeiten.

  2. RUTZ-AhA sagt:

    Es ist immer wieder der springende Punkt….Datensparsamkeit.
    Im realen Alltag aber gar nicht so leicht zu praktizieren., selbst unter ganz normalen Menschen. Erforderlich sind strenge Selbstdisziplin und teilweise auch Verzicht üben. Und genau das ist auch schon die größte Hürde, weil die Angst davor, nicht mehr dazu zu gehören, riesengroß ist.
    Mit meiner Schwester hatte ich diese Diskussion. Ich nutze kein Skype, kein Google, kein Facebook, kein Whatsup, kein Instagram, kein Flickr. Nach Darlegung meiner Gründe für dieses Verhalten war sie schon einsichtig. Denn es dreht sich schließlich nicht um Lappalien.
    Aber diese Risiken nimmt sie alle in Kauf.

    Im oben von dir beschrieben Fall kommen ja noch ganz andere Dinge ins Spiel. Die Angst vor Geheimdiensten, Verhaftung, Gefängnis und Anderes.

  3. Dekre sagt:

    Das Problem ist doch (fast) ein anderes .
    Das Problem heißt "App". Mir konnte bisher noch keiner sinnvoll erklären, was das ist und wofür man das braucht. Wer eine "App" sich auf ein Gerät installiert, und dieses Gerät macht was es will, weil es illegal in seinen Leben hineinpfuscht (das Gerät) und man alles nicht (!!!) abstellen kann und derjenige dieses auch freiwillig tut, so verstehe ich es nicht.

    Es ist ja so schön alles. Aber der Verstand wird bei vielen bei blinkenden Lichtern schon ausgeschaltet!!!!.
    Das ist das Heroin von heute und ist dieser Müll. Das ist die Alkoholsucht von heute und ist dieser Müll und genauso ist es die Spielsucht von heute und dieser Müll.

    Das Problem steckt im Egoismus und das Problem wird staatlich gefordert. Es wird täglich darüber berichtet, doch keiner macht was.

    Solange Dummheit Hirn frißt, so wird sich eben nichts ändern.

  4. Blupp sagt:

    Das Problem ist, gegen sowas kann man sich schlicht nicht wehren. Es ist immer jemand da der solche Dienste nutzt. Selbst sehe ich meine Daten auch ungern im Netz.
    Dann jemand kommt und möchte möglichst viel von mir in seinem Smartphone erfassen. Man muss ja den Geburtstag kennen um zu gratulieren und ein aktuelles Bild muss auch unbedingt da sein usw.
    Als ich dann nein sagte und auf den Datenschutz verwies kam auch glatt die intelligente Antwort: Das ist doch nur auf dem Handy drauf. Da fällt einem dann nichts mehr dazu ein…

    • Bernard sagt:

      Kannst froh sein, dass du da nicht als Asozial oder Idiot bezeichnet worden bist.

      So Leute haben meist keinerlei Verstand und sagen dann auch den dummen Spruch:

      "Du hast doch nichts zu verbergen, oder?"

  5. Sam sagt:

    Wenn ich das richtig lese lag das daran, dass sie ihre Rufnummer nicht unterdrückt hatte und der Angerufene hat dann ihre Rufnummer mit der Info über diese App ins Netz gestellt hat. Sie selber braucht dafür nicht mal ein SmartPhone.
    Solche Dienste gibt es in Deutschland auch, bekannt ist z.B. tellows, wo man über die Webseite nach einer Nummer suchen und öffentliche Kommentare dazu schreiben und lesen kann.
    Da frage ich mich, wäre das nicht schlauer sie würde ihre Rufnummer unterdrücken?

  6. RUTZ-AhA sagt:

    "Da frage ich mich, wäre das nicht schlauer sie würde ihre Rufnummer unterdrücken?"

    Das geht nicht, dann kann sie ja nicht zurückgerufen werden.

    Aber sie hätte sich mehrere Simkarten kaufen können und nach jedem Telefonat die Simkarte gegen eine andere tauschen.
    Dazu eine SMS schicken mit Treffpunkt Vereinbarung [Erkennungszeichen] und nicht so viel am Telefon schnattern.

    Irgendwie kommt mir ihr ganzes Verhalten sehr naiv vor im Hinblick auf ihren Job.

    Edward Snowden hat sich geschickter verhalten.

    • oli sagt:

      Hatte genau dazu schon was zu Günters Kommentar oben geantwortet, aber ist wohl nicht angekommen (oder im Spam gelandet?). Als Journalist oder als Quelle normale Standard-Smartphones mit zig gekoppelten Diensten zu verwenden ist heutzutage (leider muss man sagen) fahrlässig.

      • Günter Born sagt:

        Ich habe es jetzt aus dem Papierkorb restauriert – keine Ahnung, warum der Spam-Filter angeschlagen hat. Hier habe ich leider ein Verwaltungsproblem: Es gibt Nutzer, die löschen ihre Beiträge, so dass die im Papierkorb landen. Andere posten mehrfach, weil Erstkommentare grundsätzlich moderiert werden und landen dadurch im Papierkorb. Wenn ich keinen großen Monitor habe, um zu kontrollieren, ob es ein Doppelpost, ein vom Benutzer bewusst gelöschter Kommentar oder ein vom Spam-Filter aussortierter Kommentar ist, lasse ich die schon mal stehen. Ist ein wenig doof – aber jetzt auch noch das Rad drehen und die betreffenden Plugins in WordPress anzupassen, ist mir etwas zu groß (jeder Eingriff in Plugins ist eine heikle Angelegenheit – man muss die Logik verstehen und die Plugins bekommen ja Updates).

Schreibe einen Kommentar zu Blupp Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.