thomaskekeisen.de

Aus dem Leben eines Bildschirmarbyters

Vorwort

Dieser Text handelt davon, dass die Company Messenger-App meine persönlichen Erwartungen, die ich als Entwickler und Programmierer an eine App habe, mit der laut Werbung eine "sichere Kommunikation" möglich sein soll, nicht erfüllt.

Eine ursprüngliche Fassung dieses Textes habe ich bereits am 15. Februar 2017, während meines Umzugs nach Weingarten, verfasst. Diese ursprüngliche Fassung habe ich am 22. Februar an die Geschäftsführung der APPbyYOU GmbHübermittelt und diese zugleich über die geplante Veröffentlichung des Textes informiert. Die Geschäftsführung sollte so die Gelegenheit bekommen, auf meine Aussagen zu reagieren und Stellung zu beziehen. Es folgte daraufhin ein Treffen am 4. Mai 2017. Dabei wurde mir mitgeteilt, dass man dabei sei, die von mir angesprochenen Probleme zu lösen und sogar schon teilweise gelöst habe.

Nun, Stand Anfang August 2017, habe ich die in meinem ursprünglichen Text aufgeführten Probleme noch einmal überprüft und muss feststellen, dass mich die App immer noch nicht überzeugt. Außerdem habe ich den folgenden Text von meinem Anwalt prüfen lassen. Aus diesem Grunde möchte ich hier auch nochmals betonen, dass der folgende Text, soweit es nicht um Fakten geht, lediglich mein Empfinden und meine Meinung wiedergeben.

Heute, Anfang August, kann ich zumindest ein gravierendes der im nachfolgenden Text beschriebenen Probleme noch immer - oder wieder - feststellen: Der usage-Ordner wurde zwar gelöscht, wer genau hinschaut, merkt, dass der Server dann bereits am nächsten Tag - dem 22. Februar 2017 - einen neuen Ordner mit personenbezogenen Daten erstellt hat. Hier wurde also nur sehr laienhaft eine Lösung herbeigeführt, die letztlich keine war. Und allem Anschein nach ist das bisher auch nicht wieder aufgefallen.

Der ursprüngliche Text - zum heutigen Datum aktualisiert:

Bullshit Bingo

Ich war Gast beim ersten "Bitzilla Brunch" der Schwäbischen Zeitung am 5. Februar in Ravensburg. Neben der Insolvenz der Socialbit GmbH gab es spannende Gespräche mit anderen Besuchern und auch zwei Vorträge. Einer von Thomas Teufel, dem Geschäftsführer der APPbyYOU GmbH, über sein Produkt "Company Messenger" sowie ein Zweiter von Seriengründer Peter Eich über seine aktuellen Aktivitäten. Unter anderen auch über das Projekt jakobsweg.de und dessen Monetarisierung - sehr interessant!

Leider habe ich im Vortrag von Thomas Teufel das Thema Sicherheit vermisst. Die eigene Sicherheit oder verwendete Verschlüsselungstechniken wurden nicht angesprochen, im gleichen Atemzug aber Konkurrenten wie WhatsApp oder Dropbox quasi als "unsicherer Feind aus den USA" (so der von mir empfundene Tenor, nicht der genaue Wortlaut) dargestellt. Meiner Meinung nach ein großer Schwachsinn.

Ich hatte eigentlich nicht vor, weiter auf das Thema einzugehen, habe mir aber einen Flyer der APPbyYOU GmbH zum Company Messenger mitgenommen. Auf der Webseite habe ich dann, quasi aus Langeweile, kurz ein paar "alte Hacker-Tricks" angewandt und bin leider schon beim zweiten Versuch und nach einem Bruchteil einer Minute auf Daten gestoßen, die ein Unternehmen, das für Datensicherheit wirbt, eigentlich nicht von sich preisgeben sollte. Ab diesem Moment war der Hacker in mir aktiviert und ich wollte mehr wissen.

Einfaches URL-Raten

Um einfach an nicht für die Öffentlichkeit bestimmte Daten zu gelangen, reicht es meist, Google zu verwenden oder ein paar gängige URLs von häufig verwendeten Web-Tools zu erraten. Diese sind in der Standardkonfiguration meist zu unsicher und frei zugänglich. Bei den Kollegen von Company Messenger war das damals die URL /usage, hinter der sich das Tool Webalizer verbirgt. Dabei handelt es sich um ein Programm, das die sogenannten Access Logs ausließt und grafisch aufbereitet. Auf dieser Webseite finden sich somit nahezu alle Webseiten-Zugriffe inklusive die der Administratoren.

Die Besucherstatistiken sind frei aufrufbar

Sensibler Daten frei verfügbar

Neben der Information, dass die Webseite erst seit November 2016 existiert und nach meiner Interpretation mehr Besucher verliert, als gewinnt, kann ich auch feststellen, dass die Seite mit Wordpress betrieben wird und sogar, welche Plugins installiert sind. Da Wordpress-Plugins von Drittanbietern häufig auch Sicherheitslücken beinhalten (Siehe beispielsweise: Sicherheitslücken in Wordpress-Plugins: Admins müssen jetzt updaten), könnte ich mich mit genügend Motivation möglicherweise so zur nächsten, möglicherweise kritischeren Sicherheitslücke vorarbeiten. So gelang auch der Hack von FinFisher im August 2014über eine nicht ausreichend geschützte Support-Webseite und einen darin enthaltenen, ungeschützten Datei-Upload. Auch das Plugin Simple Dropbox Upload habe ich entdeckt.

Dass alle IP-Adressen der Besucher zugänglich sind, ist in diesem Kontext fast obligatorisch. Auch nicht optimal: Die URL http://taven.info verweist im A-RECORD auf den selben Server wie es http://company-messenger.com tut. Das könnte aufgrund des Duplicate Content-Problems auch ein Grund für den Besucherrückgang sein. Hier wurde mittlerweile nachgebessert, die Domain verweist jetzt auf ein anderes Ziel.

Und was ist mit der App?

Genug über die Qualität der Webseite aufgeregt. Ein kurzes Googlen hat auch keine weiteren, nicht-öffentlichen Webseiten zu Tage gefördert. Laut dem auf der Webseite verfügbaren Booklet basiert die ganze App primär auf Angular. Den Screenshots zur Folge stimmt das, denn es sieht meiner Meinung nach einfach "falsch" aus. Mit anderen Worten: Die App ist nichts weiter als eine Webseite, die für den Nutzer wie eine App aussieht. Mit allen Nachteilen einer Webseite, inklusive der aufgrund der eingesetzten Technologie viel schlechteren Performance im Vergleich zu einer nativ entwickelten App. Das Layout der App entspricht nicht im Ansatz dem, was ich von einer iOS- oder Android-App erwarte.

Ich habe dann noch etwas weiter recherchiert und bin auf die App My-App.com Messenger gestoßen. Möglicherweise die "Demo"-App mit dem das Akquise-Team auf Kunden zugeht. Ich habe mir diese App und den Charles-Proxy heruntergeladen - eigentlich mit der Erwartung, dass ich aufgrund der angepriesenen HTTPS-Verschlüsselung einen Man-in-the-Middle-Angriff auf mich selbst durchführen muss, um an den Datenverkehr der App zu kommen. Leider habe ich sofort und ohne weiteres Zutun den kompletten Datentransfer der App abhören können, denn er wird weder verschlüsselt noch sonst auf irgend eine Art geschützt. Hier sagt der Betreiber, dass die Produktiv-Apps der Kunden verschlüsselt sind. Das kann ich nicht überprüfen, finde aber dennoch, dass auch eine Demo-App in diesem Kontext den vollen Umfang an Sicherheit bieten sollte. Die Demo-App überträgt ihre Daten seit einem Update im April sicher.

Die My-App.com-App. Sieht aus wie ein schneller Test, ist aber genau so im App Store.

Das finde ich grob fahrlässig

Die APPbyYOU GmbH wog ihre Kunden mit falschen Versprechen in Sicherheit - so kam mir das zumindest vor, wenn ich die angebotene Demo-App als potenzieller Kunde auf Herz und Nieren teste. In Wirklichkeit hatte der Kunde aber statt einer Verschlüsselung und sauber gespeicherten Daten ein schlecht implementiertes Chaos dem es meiner Meinung nach an wirklich allen Ecken und Enden an Sicherheit, Qualität und einem Konzept fehlt. Die Schnittstellen im Hintergrund plauderten nach Lust und Laune, viel zu viele Daten aus. Darunter auch Daten anderer Apps aus. Der Server stürzte regelmäßig ab und präsentiert dann auch direkt den kompletten Stacktrace zum Fehler. Ich bin mir relativ sicher, dass nicht eine einzige Information in den Systemen der APPbyYOU GmbH sicher ist. Mit genügend Motivation könnte ein Angreifer mit kriminellem Hintergrund die volle Kontrolle über die Daten und die Infrastruktur erlangen.

Die Demo-App kommuniziert ausschließlich unverschlüsselt über das HTTP-Protokoll
Der App-Server ist überhaupt nicht über das sichere HTTPS-Protokoll erreichbar
Selbst im öffentlich zugänglichen Booklet sind die Texte nicht final
Der Server liefert einem Angreifer benötigte Hintergrundinformationen auf dem Präsentierteller

Fazit

Die Nutzung von company-messenger.com und der Umstieg von bekannten, großen Messenger-Diensten wie WhatsApp oder Slack auf die Implementierung aus Deutschland schafft meiner Meinung nach das exakte, sehr extreme Gegenteil von Sicherheit: Absolut keine Verschlüsselung, bei schlechterer Usability und weniger Funktionsumfang - inklusive einer außerordentlich schlechten Übersetzung. Der Hersteller selbst verliert nur ein paar Sätzeüber die implementierte Sicherheit und Verschlüsselung und verschlüsselte aber in Wirklichkeit - und das finde ich wirklich krass - überhaupt nicht .

WhatsApp dagegen hat mit den Seiten WhatsApp Sicherheit und Ende-zu-Ende-Verschlüsselung sogar für den Laien verständliche Erklärungen der Implementierung und bieten außerdem ein transparentes Whitepaper für technisch versierte Personen an. Mittlerweile überträgt auch die Demo-App ihre Daten über eine sicherere und verschlüsselte HTTPS-Verbindung.

Safty First: Der Schramme-Firmen-Messenger ermöglicht uns eine sichere Kommunikation im Team mit Kunden oder Lieferanten egal wo wir gerade sind. Gemäß Geheimhaltungsvereinbarungen können so technische Daten, Zeichnungen und Informationen schnell, direkt und vor allem gefahrlos durchs Netz geschickt werden. Alle Daten bleiben bei uns, keiner liest mit. Kommunikation 4.0 – weltweit. APPbyYOU Aus der Facebook-Seite von APPbyYOU

Ich persönlich würde mir die Tausenden von Euro sparen und lieber kleines Geld in eine Slack-Lizenz investieren. Die Daten sind zwar in den USA, dafür aber nach meinem Empfinden nicht grundsätzlich leicht zugänglich. Der Anbieter hat zwar nachgebessert, das System setzt aber meiner Meinung nach auf die falsche technologische Basis, um verlässlich das zu bieten, was in der Werbung versprochen wird.

Teilen

Kommentare