Kinderschutz-Apps: Wenn die Überwachung der Kinder nach hinten losgeht
Zu Weihnachten packen viele Eltern ihren Kindern neue technische Geräte wie Tablets und Smartphones unter den Weihnachtsbaum. Um die Kleinen vor schädlichen Inhalten aus dem Netz zu schützen oder die Nutzungsdauer einzuschränken, setzen viele Eltern auf populäre Kindersicherungs-Apps. Das auf Cybersecurity spezialisierte Unternehmen SEC Consult hat untersucht, welche Gefahren der Einsatz solcher Apps zum Schutz der Kinder mit sich bringen kann.
Die Ergebnisse des Sicherheits-Audits von sogenannten Kinderschutz-Apps sind alarmierend. Die Sicherheitsexperten haben acht beliebte Android-Apps zum Kinderschutz daraufhin getestet, inwieweit sie ihre Funktion tatsächlich erfüllen, ob es unbefugten Dritten gelingt, auf die oft sehr persönlichen Daten zuzugreifen, und ob die App selbst Daten sammelt und speichert. Erschreckendes Ergebnis: Viele der Apps speichern diese Daten unverschlüsselt und sind damit für Angreifer aus dem Netz leichte Beute.
Wie die Security-Profis feststellen, können private Daten bei einigen Kinderschutz-App mit einem einfachen Angriff ausspioniert werden. Manche der App-Betreiber reagieren nicht oder kaum auf Anfragen und die Speicherung konnte bei allen getesteten Apps leicht durch die Kinder umgangen werden. Wer sich tiefer mit den Ergebnissen des Sicherheits-Audits der Kinderschutz-Apps einlesen will, findet direkt bei SEC Consult die ausführlichen Ergebnisse inklusive einer Anmerkung zu Samsung Knox. Hier sind die Ergebnisse des Sicherheitstests bei Kinderschutz-Apps in der Zusammenfassung:
Schwere Datenschutzbedenken bei allen getesteten Apps
Apps zur Kindersicherung und damit Nutzungskontrolle speichern personenbezogene, hochsensible Daten wie Standort, Fotos, vollständige Inhalte von Textnachrichten und Telefon-Metadaten mit. Diese Daten landen auf den Servern der App-Anbieter. Ein immenser Vertrauensvorschuss der Eltern an die Unternehmen, welche Zugang zu all diesen Daten in unverschlüsselter Form haben. Nicht nur ist unklar, wer seitens der Anbieter Zugriff darauf hat und ob in allen Fällen die DSGVO eingehalten wird, im Falle eines Datenlecks könnten diese Informationen auch für Cyberkriminelle im Klartext zugänglich werden.
Kinder können Restriktionen leicht umgehen
Grundsätzlich müssen Kinder der Verwendung der Apps zustimmen, unterstreicht Bernhard Gründling, Forscher im Vulnerability Lab, dem SEC Consult-eigenen Security-Labor: "Es ist nicht nur wichtig, dass sich Eltern bei der Smartphone-Nutzung ihrer Kinder sicher fühlen, sondern auch, dass Kinder mit den Sicherheitsmaßnahmen ihrer Eltern einverstanden sind," so der Experte.
Bei allen getesteten Apps konnten die gesetzten Einschränkungen sehr einfach umgangen werden, indem der App über die Android-Berechtigungen der entsprechende Zugriff auf Nutzungsdaten, Bedienhilfen und Ähnliches entzogen wurde. Einige der Apps versuchten dies zwar zu verhindern, indem ein Interface über die entsprechenden Menüpunkte eingeblendet wurde, ein einfacher Neustart im abgesicherten Modus erlaubte letztlich aber die Deinstallation, Beschränkung oder Deaktivierung der Apps. Da im abgesicherten Modus der Internetzugang deaktiviert werden kann, werden Eltern nicht über die vorgenommenen Änderungen informiert.
Web-Dashboards: Ein nicht zu unterschätzendes Sicherheitsrisiko
Einige der Apps stellen Web-Dashboards zum einfachen Managen der Beschränkungen zur Verfügung. Im Test zeigte sich, dass viele dieser Dashboards problematisch sind. Häufig waren sie anfällig für typische webbasierte Angriffe wie Cross-Site Request Forgery (CSRF), Clickjacking und Cross-Site-Scripting (XSS). Zwei der getesteten Apps erlaubten sogar einen Angriff auf das Eltern-Gerät mithilfe einer einfachen Cross-Site-Scripting (XSS)-JavaScript-Payload. Nicht nur Angreifer, auch die Kinder selbst können so einfach Zugriff auf das Dashboard oder die Logindaten der Eltern erhalten und möglicherweise alle aktuellen Beschränkungen umgehen. Zudem bieten einige der Dashboards eine Geofencing-Funktion, die es den App-Anbietern und möglicherweise auch unbefugten Dritten erlaubt, auf den Standort des Kindes in Echtzeit zuzugreifen.
Kindersicherungsfunktion statt Kinderschutz-Apps
Zusammenfassend bleibt es bei einem ernüchternden Ergebnis: Kindersicherungsapps gefährden die Privatsphäre der Kinder, solange nicht klar ist, wie genau Softwareanbieter die Daten speichern und wer darauf Zugriff erhält. Teilweise fundamentale Sicherheitslücken bei der Programmierung werfen diesbezüglich zusätzliche Bedenken auf. Und auch die Kinder selbst könnten Schwachstellen ausnützen, um die Beschränkungen zu umgehen, ohne dass Eltern dies mitbekommen. SEC Consult empfiehlt daher, zunächst die Kindersicherungsfunktion des Betriebssystems anzusehen, bevor Apps von Drittanbietern zum Einsatz kommen. Diese ist fest in das OS eingebunden und erlaubt keine einfache Umgehung oder Angriffe von außen.