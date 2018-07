Es ist 2017, und eigentlich sollte man meinen, Selfies wären mittlerweile durch. Falsch gedacht. Seit einigen Tagen sorgt die Foto- und Bildbearbeitungsapp Meitu für "Oohhhs" und "Aaaahhs" in den sozialen Netzwerken. Zu den Funktionen von Meitu gehören nämlich Filter, die gewöhnliche Selfies in glitzernde, weichgezeichnete Manga-Monstrositäten verwandeln. "Beautification" oder "Virtual Makeup" heißt dieses Konzept, und über dessen Namen und Nutzen lässt sich trefflich streiten.

In China ist Meitu schon länger beliebt. So beliebt, dass die gleichnamige Firma im Dezember mit einer Bewertung von 4,6 Milliarden US-Dollar in Hongkong an die Börse ging. Die diversen Foto-Apps von Meitu sollen mittlerweile von mehr als 450 Millionen Menschen genutzt werden, zunehmend auch in westlichen Ländern, obwohl die Programme für viele Sprachen und Regionen noch gar nicht optimiert sind.

Neben dem viralen Erfolg steht Meitu jetzt aufgrund eines anderen Aspekts im Fokus. Wie bekannt wurde, schöpft der Dienst nämlich weit mehr persönliche Daten ab, als eine Foto-App eigentlich müsste – und verlangt dafür einiges an Berechtigungen von ihren Nutzern.

Spyware oder Crapware?

Der Sicherheitsforscher Greg Linares hatte am Donnerstag als einer der Ersten darauf hingewiesen, wie viele Berechtigungen die Android-Version von Meitu erfordert. So will die App neben dem offensichtlichen Zugriff auf die Kamera und den Speicher (die Bilder müssen schließlich aufgenommen und anschließend gespeichert werden) auch Informationen über das Gerät, über Anrufe, Netzwerkverbindungen und den Standort auf Basis von GPS und Mobilfunk erhalten. Nun sind App-Berechtigungen zwar häufig irreführend, und einzelne Funktionen, etwa die Standortabfrage, lassen sich in neueren Android-Versionen manuell blockieren. Doch dass eine App für Bildbearbeitung überhaupt so viele Informationen verlangt, scheint ungewöhnlich.

Noch interessanter ist ein Blick ins Innere von Meitu. Der Experte Jonathan Zdziarski hat sich Teile des Quellcodes der iOS-App angeschaut. Dabei stellte er fest, dass die App nicht nur analysiert, ob ein iPhone einem Jailbreak unterzogen wurde. Sondern dass sie auch reichlich Codes von Dritten enthält und versucht, an die IMEI- und IMSI-Nummern zu gelangen. IMEI ist die individuelle Gerätenummer, IMSI dient der eindeutigen Identifizierung von Teilnehmern in einem Mobilfunknetzwerk. Apples iOS blockiert zwar den Zugriff auf diese persönlichen Daten, doch Meitu sammelt dennoch Informationen über den jeweiligen Provider, die iOS- und Geräteversion und erstellt für jeden Nutzer eine individuelle ID. Die gesammelten Informationen könnten anschließend an mehr als ein Dutzend Dienste in China übertragen werden.

Let me get this straight...

All of you just installed a photo app from China that requires these permissions? Let me know how it works out. pic.twitter.com/wGDUYbRdSA — Greg Linares (@Laughing_Mantis) 19. Januar 2017

Das klingt bedrohlich, ist aber alles halb so wild, schreibt Zdziarski. Meitu enthalte eine zusammengewürfelte und teils schlecht programmierte Mischung verschiedener Analyse- und Werbedienste. Oder, profaner gesagt: Es sei letztlich nur ein weiteres Stück Crapware mit ordentlich Adtracking, so wie Tausende andere Apps im App Store. Aber es sei Blick eher keine Anwendung, die den Nutzern ausgeklügelte Spyware unterjubelt.

Zu einem ähnlichen Fazit kommt der Sicherheitsforscher Will Strafach, der den App-Analysedienst verify.ly betreibt. In einer ersten Analyse bestätigt er, dass die iOS-Version von Meitu verschiedene Bibliotheken von Drittanbietern enthält, etwa um sich mit den in China beliebten Diensten WeChat und Weibo zu verknüpfen. Daten wie der Standort der Nutzer und Geräteinformationen würden zu Analysezwecken verwendet, andere Funktionen seien für chinesische Nutzer optimiert. Insgesamt unterscheide sich Meitu aber nicht von vielen anderen Apps. Eine Analyse der Android-Version steht noch aus.