Wie Tastatursoftware die Privatsphäre Hunderter Millionen Chinesen gefährdet

Inhaltsverzeichnis

Für Millionen von Chinesen ist die erste Software, die sie auf einem neuen Laptop oder einem neuen Smartphone installieren, immer dieselbe: eine Tastatur-App für das erleichterte Tippen in Mandarin. Doch nur wenigen Nutzern ist bewusst, dass damit alles, was sie tippen, mitgespeichert werden könnte. Der Grund für den Einsatz solcher Programme: Da Dutzende von chinesischen Schriftzeichen dieselbe lateinische Lautschrift haben können, ist die im Westen gewohnte QWERTY-Tastatur (hierzulande: QWERTZ) allein sehr ineffizient. Eine intelligente angepasste Tastatur-App kann bei der Arbeit viel Zeit und Frustration sparen, indem sie die Zeichen und Wörter vorhersagt, die ein Benutzer vermutlich eingeben möchte. Inzwischen verwenden über 800 Millionen Menschen in China Tastatur-Apps, die von Dritten kommen, sei es nun auf Desktop-PC, Notebook oder Handy.

Sie gehen damit große Gefahren ein. Ein aktueller Report des Citizen Lab, einer auf Technologie und Sicherheit spezialisierte Forschungsgruppe der Universität Toronto, die bereits zahlreiche Spionagefälle aufgedeckt hat, zeigt nun, dass Sogou, eine der beliebtesten chinesischen Tastatur-Apps, massive Sicherheitslücken aufweist. "Das ist eine App, die mit sehr sensiblen Informationen umgeht – mit jeder einzelnen Eingabe", sagt Jeffrey Knockel, leitender wissenschaftlicher Mitarbeiter des Citizen Lab und Mitautor der Untersuchung. "Wir wollten das genauer untersuchen und herausfinden, ob diese App die Daten, die sie über das Netzwerk versendet, ordnungsgemäß verschlüsselt – oder ob es eine Möglichkeit gibt, dass Abhörer sie dekodieren." Tatsächlich fanden Knockel und seine Kollegen heraus, dass die von Sogou verwendeten Verschlüsselungsverfahren unsicher sind. Es existieren Möglichkeiten, Daten abzufangen, sogar während Nutzer tippen.

Sogou, das 2021 vom Tech-Giganten Tencent übernommen wurde, hat die Lücke zwar schnell geschlossen, nachdem die Forscher von Citizen Labs das Unternehmen darauf aufmerksam gemacht hatten. "Die Privatsphäre der Nutzer ist für unser Geschäft von grundlegender Bedeutung", teilte ein Sogou-Sprecher gegenüber MIT Technology Review mit. Man habe die von Citizen Lab aufgedeckten Probleme behoben und werde weiter daran arbeiten, dass die Nutzerdaten sicher bleiben. "Wir legen unsere Datenverarbeitungsaktivitäten in unserer Datenschutzrichtlinie transparent offen und geben Nutzerdaten nicht weiter."

Doch es gibt keine Garantie dafür, dass dies die einzige Schwachstelle in der App war, und die Forscher haben bislang keine der anderen beliebten Tastatur-Apps auf dem chinesischen Markt untersucht. Das bedeutet, dass die allgegenwärtigen Programme weiterhin ein Sicherheitsrisiko für Hunderte Millionen Menschen darstellt. Und alarmierenderweise macht das Potenzial dafür die ansonsten verschlüsselte Kommunikation chinesischer Nutzer – zum Beispiel über eigentlich sichere Apps wie Signal – anfällig für staatliche Überwachung.

Ein unverzichtbarer Bestandteil auf Handy und PC

Die offiziell als Eingabemethoden-Editoren ("Input Method Editors", kurz IME) bezeichneten Tastatur-Apps sind für das Tippen in Sprachen mit mehr Zeichen erforderlich, als eine herkömmliche Tastatur mit lateinischem Alphabet zulässt, z. B. in Sprachen mit japanischen, koreanischen oder indischen Schriftzeichen. Für chinesische Benutzer ist ein IME eigentlich eine Notwendigkeit.

"Bei der Eingabe chinesischer Schriftzeichen mit lateinischem Alphabet gibt sehr viele Unklarheiten", sagt Mona Wang, Stipendiatin des Open Technology Fund am Citizen Lab und eine Mitverfasserin des Reports zu Sogou. Da ein und dieselbe phonetische Schreibweise Dutzenden oder sogar Hunderten von chinesischen Zeichen zugeordnet werden kann – und diese Zeichen auch auf unterschiedliche Weise zu verschiedenen Wörtern kombiniert werden können –, funktioniert eine auf die chinesische Sprache abgestimmte Tastatur-App normalerweise viel besser als die Standardtastatur.

Seit der PC-Ära haben chinesische Softwareentwickler alle Arten von IME-Produkten im Angebot, um das Tippen zu beschleunigen. Einige davon verzichten sogar auf die phonetische Schreibweise und ermöglichen es den Benutzern, die Bestandteile eines chinesischen Zeichens zu "zeichnen" oder auszuwählen. Infolgedessen wurde das Herunterladen von Tastatursoftware von Drittanbietern zur Standardpraxis für nahezu alle Chinesen.

Das Programm "Sogou Input Method", das 2006 erstmals auf den Markt kam, wurde schnell zur beliebtesten Tastatur-App im Land. Die Software konnte besser als alle anderen vorhersagen, welches Zeichen oder Wort der Benutzer tatsächlich eingeben will, indem sie Text aus dem Internet abfragte und selbst eine umfangreiche Bibliothek mit chinesischen Wörtern bereithielt. Diese cloudbasierte Bibliothek wurde häufig aktualisiert, um neue Wörter, gerade beliebte Ausdrücke oder Namen von Personen aus den aktuellen Nachrichten aufzunehmen. Als Google 2007 seine eigene chinesische Tastatur-App auf den Markt brachte, kopierte es sogar Sogous Wortbibliothek (und musste sich später dafür entschuldigen).

Im Jahr 2014, als das iPhone zum ersten Mal IMEs von Drittanbietern unterstützte, stürzten sich chinesische Nutzer darauf. Sogous Tastatur-App wurde zum Hit, Nutzer hinterließen an nur einem Tag 3.000 Bewertungen. Zu einem bestimmten Zeitpunkt nutzten über 90 Prozent der chinesischen PC-User Sogou. Im vergangenen Jahr war allerdings Baidu Input Method (vom gleichnamigen chinesischen Internet-Riesen) mit 607 Millionen Nutzern und einem Marktanteil von 46,4 Prozent die führende Tastatur-App in China. Doch Sogou hatte laut der Analysefirma iiMedia immer noch 561 Millionen Nutzer.