wissen.de Artikel
Kinderschutz-Apps: Achtung, Sicherheitslücken!
Eltern wollen für ihre Kinder nur das Beste. Kein Wunder, dass sie oft das Bedürfnis haben, ihre Sprösslinge vor potenziellen Gefahren zu schützen. Kriminelle auf der Straße, schädliche Einflüsse im Internet oder die Folgen übermäßiger Handynutzung - all dies sind Dinge, um die sich Väter und Mütter Gedanken machen. Aus Sorge verwenden immer mehr von ihnen sogenannte Kinderschutz-Apps, auch unter dem englischen Begriff "Parental Control"-Apps bekannt.
Einmal auf beiden Geräten installiert, haben Eltern damit virtuellen Zugriff auf das Smartphone ihres Kindes. Sie können den Schulweg in Echtzeit mitverfolgen, Facebook-Freundschaften und Instagram-Bilder durchstöbern oder das Handy aus der Ferne für bestimmte Funktionen sperren. Kurzum: den Nachwuchs auf Schritt und Tritt überwachen.
Von wegen mehr Sicherheit
Die Anbieter versprechen mehr Sicherheit. Doch die Kontroll-Apps geraten immer wieder in die Kritik: Der Kinderschutzbund mahnt den Eingriff in die Privatsphäre des Kindes an, Datenschützer warnen vor möglichen Sicherheitslücken - zu Recht, wie sich nun zeigt. Eine Studie vom Fraunhofer-Institut für Sichere Informationstechnologie in Sankt Augustin hat gravierende Mängel bei den Tracking-Programmen festgestellt.
Für ihre Untersuchung nahmen die Forscher insgesamt 19 gängige Anwendungen dieser Art genauer unter die Lupe. Die im Google Play Store angebotenen Programme wurden laut Google mehrere Millionen Male installiert. Wie gut aber sind die hochsensiblen Nutzerdaten geschützt, die diese Apps erheben?
"Komplette Überwachung möglich"
Das erschütternde Ergebnis: Alle untersuchten Apps haben erhebliche Schwachstellen, keine einzige ist sicher programmiert. Wie die Wissenschaftler berichten, werden die erhobenen Daten meist im Klartext auf einem Server abgespeichert, ohne durch korrekte Verschlüsselung abgesichert zu sein. "Wir mussten lediglich eine bestimmte Webseite aufrufen und einen Nutzernamen in die URL eingeben oder raten, um das Bewegungsprofil einer Person aufzurufen", berichtet Projektleiter Siegfried Rasthofer.
Besonders brisant: Die Forscher fanden auf den Servern nicht nur Daten einzelner Personen, sondern konnten von allen Nutzern dieser Apps komplette Bewegungsprofile auslesen. "Damit ist eine Echtzeitverfolgung von Tausenden Menschen möglich", sagt Rasthofer. Über die unsicheren Apps können Angreifer ihm zufolge nicht nur Metadaten wie Aufenthaltsorte abrufen, sondern auch Inhalte wie SMS-Nachrichten und Bilder. "Damit ist eine komplette Überwachung möglich", erklärt Mitautor Stephan Huber.
Zugriff auf Login-Daten
Darüber hinaus gelang es dem Team, auch die Anmeldeinformationen der App-Nutzer auszulesen. Diese waren bei den meisten Apps ebenfalls unverschlüsselt gespeichert oder nur mit völlig ungenügender Verschlüsselung gesichert. Alles in allem entdeckten die Forscher 37 Sicherheitslücken in den Anwendungen.
Über diese Entdeckungen haben die Wissenschaftler die App-Anbieter sowie den Google Play Store bereits informiert: Zwölf der 19 Apps sind als Reaktion darauf inzwischen entfernt worden. Andere Anbieter haben hingegen noch gar nicht reagiert.