Weihnachten steht vor der Türe und für viele Kinder bedeutet dies, dass neue technische Geräte wie Tablets und Smartphones unter dem Weihnachtsbaum liegen. Um die Kleinen vor schädlichen Inhalten aus dem Netz zu schützen oder die Nutzungsdauer einzuschränken, setzen viele Eltern auf populäre Kindersicherungs-Apps. Welche Gefahren der Einsatz solcher Apps mit sich bringen kann, hat das auf Cybersecurity spezialisierte Unternehmen SEC Consult nun untersucht.
Acht beliebte Android-Apps zum Kinderschutz wurden daraufhin getestet, inwieweit sie ihre Funktion tatsächlich erfüllen, ob es unbefugten Dritten gelingt, auf die oft sehr persönlichen Daten zuzugreifen, und ob die App selbst Daten sammelt und speichert. Das Ergebnis lässt aufhorchen: Viele der Apps speichern diese Daten unverschlüsselt und sind damit für Angreifer aus dem Netz leichte Beute. Mit einem einfachen Angriff können diese privaten Daten ausspioniert werden. Manche der App-Betreiber reagieren nicht oder kaum auf Anfragen und die Speicherung konnte bei allen getesteten Apps leicht durch die Kinder umgangen werden.
Schwere Datenschutzbedenken bei allen getesteten Apps
Apps zur Kindersicherung und damit Nutzungskontrolle bringen immer Datenschutzbedenken mit sich, denn sie speichern personenbezogene, hochsensible Daten wie Standort, Fotos, vollständige Inhalte von Textnachrichten und Telefon-Metadaten mit. Diese Daten landen auf den Servern der App-Anbieter. Ein immenser Vertrauensvorschuss der Eltern an die Unternehmen, welche Zugang zu all diesen Daten in unverschlüsselter Form haben. Nicht nur ist unklar, wer seitens der Anbieter Zugriff darauf hat und ob in allen Fällen die DSGVO eingehalten wird, im Falle eines Datenlecks könnten diese Informationen auch für Cyberkriminelle im Klartext zugänglich werden.
Kinder können Restriktionen leicht umgehen
Grundsätzlich müssen Kinder der Verwendung der Apps zustimmen, unterstreicht Bernhard Gründling, Forscher im Vulnerability Lab, dem SEC Consult-eigenen Security-Labor: „Es ist nicht nur wichtig, dass sich Eltern bei der Smartphone-Nutzung ihrer Kinder sicher fühlen, sondern auch, dass Kinder mit den Sicherheitsmaßnahmen ihrer Eltern einverstanden sind.“
Bei allen getesteten Apps konnten die gesetzten Einschränkungen sehr einfach umgangen werden, indem der App über die Android-Berechtigungen der entsprechende Zugriff auf Nutzungsdaten, Bedienhilfen und Ähnliches entzogen wurde. Einige der Apps versuchten dies zwar zu verhindern, indem ein Interface über die entsprechenden Menüpunkte eingeblendet wurde, ein einfacher Neustart im abgesicherten Modus erlaubte letztlich aber die Deinstallation, Beschränkung oder Deaktivierung der Apps. Da im abgesicherten Modus der Internetzugang deaktiviert werden kann, werden Eltern nicht über die vorgenommenen Änderungen informiert.
Web-Dashboards: Ein nicht zu unterschätzendes Sicherheitsrisiko
Einige der Apps stellen Web-Dashboards zum einfachen Managen der Beschränkungen zur Verfügung. Im Test zeigte sich, dass viele dieser Dashboards problematisch sind. Häufig waren sie anfällig für typische webbasierte Angriffe wie Cross-Site Request Forgery (CSRF), Clickjacking und Cross-Site-Scripting (XSS). Zwei der getesteten Apps erlaubten sogar einen Angriff auf das Eltern-Gerät mithilfe einer einfachen Cross-Site-Scripting (XSS)-JavaScript-Payload. Nicht nur Angreifer, auch die Kinder selbst können so einfach Zugriff auf das Dashboard oder die Logindaten der Eltern erhalten und möglicherweise alle aktuellen Beschränkungen umgehen. Zudem bieten einige der Dashboards eine Geofencing-Funktion, die es den App-Anbietern und möglicherweise auch unbefugten Dritten erlaubt, auf den Standort des Kindes in Echtzeit zuzugreifen.
Kindersicherungsfunktion statt Kinderschutz-Apps
Zusammenfassend bleibt es bei einem ernüchternden Ergebnis: Kindersicherungsapps gefährden die Privatsphäre der Kinder, solange nicht klar ist, wie genau Softwareanbieter die Daten speichern und wer darauf Zugriff erhält. Teilweise fundamentale Sicherheitslücken bei der Programmierung werfen diesbezüglich zusätzliche Bedenken auf. Und auch die Kinder selbst könnten Schwachstellen ausnützen, um die Beschränkungen zu umgehen, ohne dass Eltern dies mitbekommen. SEC Consult empfiehlt daher, zunächst die Kindersicherungsfunktion des Betriebssystems anzusehen, bevor Apps von Drittanbietern zum Einsatz kommen. Diese ist fest in das OS eingebunden und erlaubt keine einfache Umgehung oder Angriffe von außen.
www.sec-consult.com