Überwachungs-Apps für Kinder: Welchen Preis die totale Kontrolle mit sich bringt 

Fabian Densborn und Bernhard Gründling vom SEC Consult Vulnerability Lab haben kürzlich mehrere Sicherheitslücken in beliebten Kinderschutz-Apps für die Android-Plattform entdeckt.

Während ihrer Analyse fanden sie heraus, dass die übergeordneten Web-Dashboards anfällig für Cross-Site Request Forgery (CSRF) und Cross-Site Scripting (XSS)-Angriffe waren.

Diese Schwachstellen ermöglichten es, die von den Eltern festgelegten Einschränkungen zu umgehen oder sogar die Eltern selbst anzugreifen. Darüber hinaus könnten die von den Eltern auferlegten Einschränkungen der Android-Apps von den Kindern leicht umgangen werden, indem sie die erforderlichen Berechtigungen in der Einstellungs-App entfernen oder die Funktion des abgesicherten Modus von Android verwenden. Da diese Apps für gewöhnlich äußerst private Daten der Kinder sammeln und oft in der Cloud speichern, kann der Schutz der Privatsphäre stark darunter leiden.

Das SEC Consult Vulnerability Lab steht im Rahmen unseres Responsible Disclosure Prozesses bereits mit einigen der unten genannten Anbietern in Kontakt. Die identifizierten Sicherheitslücken sollen nach Angaben der Hersteller in naher Zukunft behoben werden. Wir werden weitere technische Details durch Sicherheitshinweise veröffentlichen, nachdem diese Patches öffentlich verfügbar sind.

Warum Apps zur Kindersicherung nicht die Lösung sind, um Ihre Kinder online zu schützen

Kinder haben heute schon früh Zugang zu Smartphones oder Tablets oder besitzen bereits eigene Geräte. Um den Zugriff auf potenziell schädliche oder nicht kinderfreundliche Inhalte zu unterbinden oder die Nutzungszeit einzuschränken, installieren Eltern häufig Kindersicherungs-Apps auf den Geräten der Kinder. Ziel dieser IT-Sicherheits-Recherche war es daher herauszufinden, ob die Benutzerkonten der Apps ordnungsgemäß voneinander getrennt sind, oder ob unbefugte Dritte auf Daten oder Geräte zugreifen können. Außerdem wollten wir herausfinden, welche und wie viele Daten diese Apps generell sammeln und speichern.

Wir haben die auf dem Gerät und beim App-Anbieter gespeicherten Informationen (z. B. Cloud-Speicher) untersucht und genau auf die Funktionen geachtet, die eine elterliche Verwaltung des Kindergeräts ermöglichen. Wir haben untersucht, ob es möglich ist, Autorisierungsprüfungen zu umgehen, sodass entfernte oder lokale Angreifer auf Funktionen der zugehörigen Geräte oder auf persönliche Informationen anderer Benutzer zugreifen können.

Dieser Blogbeitrag enthält eine Liste der untersuchten Apps, die angewandte Methodik zur Analyse und welche Schwachstellenklassen identifiziert wurden. Es werden keine detaillierten technischen Informationen offengelegt, weil einige Anwendungen immer noch anfällig für die erwähnten Angriffe sind und einige Schwachstellen möglicherweise nicht einfach gelöst werden können.

Wir wollten diese Untersuchung durchführen, um die Sicherheit dieser Tools zu bewerten, da wir einige davon auch privat verwenden.
Johannes Greil, Leitung SEC Consult Vulnerability Lab

Die Applikationen im Test

Die folgende Tabelle listet die Kontroll-Apps auf, die basierend auf der unten genannten Methodik kurz analysiert wurden. Der Umfang dieser Untersuchung beschränkte sich auf Apps zur Kindersicherung für Android. Für keine dieser Apps wurde eine vollständige Sicherheitsüberprüfung durchgeführt. Die Download- und Versionsinformationen aus der folgenden Tabelle stammen aus dem Google Play Store. Die Informationen zu abrufbarer Datenschutzerklärung, Impressum und Sitz der Anbieter finden Sie auf deren jeweiligen Webseiten.

App Name des Packages Anzahl Downloads Versionsnummer Web Dashboard Datenschutzinfos / Impressum Hersteller Land
familytime.io Eltern: io.familytime.dashboard
Kind: io.familytime.parentalcontrol
1M+ Eltern: 3.2.1.367
Kind: 3.1.0.3279.ps
Ja Ja / Ja Japan
Boomerang  com.nationaledtech.Boomerang  100K+  13.53 & 13.61 
Ja Ja / Ja Kanada 
Quostodio  Eltern: com.qustodio.family.parental.control.app.screentime 
Kind: com.qustodio.qustodioapp
1M+  Eltern: 180.10.2 
Kind: 180.60.0.2 
Ja Ja / Ja Spain 
Wondershare FamiSafe  com.wondershare.famisafe  1M+  5.7.4.209  Ja Ja / Ja Hongkong 
Find My Kids  Eltern: org.findmykids.app 
Kind: org.findmykids.child 
10M+  02.04.85 Ja Ja/ Ja USA 
Parental Control Kroha  ua.com.tim_berners.parental_control  1M+  03.06.02 Ja / Ja Ukraine 
Kids Place Parental Controls  com.kiddoware.kidsplace 5M+  3.8.45 & 3.8.49  Ja Ja / Ja USA 
Parental Control App  Eltern: kz.sirius.kidssecurity 
Kind: kz.sirius.siriuschat
1M+  1282 Ja / Ja Kazahstan 

Methodik

Dieser Abschnitt behandelt die Analyse der Android-Apps und welche Tools wir zu diesem Zweck verwendet haben.

Statische Analyse

Das MobSF Framework lieferte uns einen ersten Überblick über die verschiedenen Apps, die zugehörigen Berechtigungen und möglicherweise “low hanging fruits” in Bezug auf Sicherheitsprobleme.

Bei einigen Apps ist mit Hilfe der Android Debug Bridge (ADB) ein Backup möglich, weil das entsprechende Flag zur Absicherung (android:allowBackup="false") im Manifest von den Entwicklern nicht gesetzt wurde. ADB ist ein Tool auf der Kommandozeile, mit dem Entwickler mit einem Android-Gerät kommunizieren können. Abgesehen von Backups, kann man damit eine Vielzahl von Befehlen an ein Android-Gerät senden, z. B. das Installieren und Debuggen von Apps, das Ändern verschiedener Geräteeinstellungen und mehr. Bekämen Angreifer Zugriff auf ein solches Backup, könnten sie potenziell vertrauliche Konfigurationsdateien oder lokal gespeicherte personenbezogene Daten der Kinder extrahieren.

Wir haben auch festgestellt, dass viele dieser Apps ein Flag gesetzt haben, um Klartextverbindungen zuzulassen (android:usesCleartextTraffic="true"). Dieses Flag ermöglicht der Anwendung, unverschlüsselte Kommunikation zu verwenden und wäre für einen potenzieller Angreifer im selben Netzwerk leichte Beute. Beispielsweise könnte ein einfacher Man-in-the-Middle-Angriff entsprechende Zugangsdaten mitlesen oder andere PII-Daten ausspionieren. Da aber alle getesteten Apps TLS (Transport Layer Security) zur Übertragung nutzen, ist unklar, warum dieses Flag gesetzt wurde. Somit haben die Entwickler nämlich die Möglichkeit, auch unverschlüsselte Anfragen zu senden.

Als nächstes haben wir überprüft, ob im Quellcode fest codierte Zugangsdaten zu finden sind, die es einem Angreifer ermöglichen, weitere Angriffe durchzuführen. Alle identifizierten API-Keys wurden auf die Möglichkeit des Missbrauchs aufgrund fehlender API-Key-Einschränkungen geprüft.   

Dynamische Analyse

Für die dynamische Analyse haben wir die Apps auf physischen Google Pixel 4a Testgeräten mit Android 11 installiert und gerootet.

Nachdem wir uns registriert und mit den verschiedenen Apps vertraut gemacht haben, ging es an die manuelle Prüfung des internen Speichers per ADB. Sobald wir wussten, welche Daten auf dem Gerät gespeichert sind, haben wir versucht den Datenverkehr abzufangen. Wir wollten wissen, wohin Daten gesendet und welche Daten überhaupt gesammelt werden.

Manche der analysierten Apps verfügten über Sicherheitsmaßnahmen wie das Anpinnen von Zertifikaten (eine Maßnahme gegen Man-in-the-Middle-Sniffing-Angriffe). Alle davon konnten wir durch ein Universal SSL Pinning Bypass Skript für Frida. schnell umgehen. Weitere API-Aufrufe der Anwendungen zu ihren Cloud-Servern untersuchten wir mit Proxy-Tools wie Burp Suite dahingehend, ob Angreifer auf Daten anderer Benutzer/Kinder (in diesem Fall unsere eigenen Testgeräte) z. B. durch unsichere direkte Objektreferenzen zugreifen können.

Web Dashboard

Einige Apps stellen Eltern ein Web-Dashboard für den Browser zur Verfügung, mit dem das Gerät des Kindes eingeschränkt werden kann oder sogar Aktionen darauf ausgeführt werden können. In den meisten Fällen bot das Web-Dashboard die gleichen Funktionen wie die Eltern-App. Einige Apps boten über das Web-Dashboard jedoch auch zusätzliche Funktionen an, wie z. B. Geofencing oder zusätzliche Einstellungsmöglichkeiten zu Einschränkungen und Benachrichtigungen.    

Auch hier haben wir die Netzwerkanfragen durch Proxy-Tools abgefangen und analysiert. Es ging uns nicht nur darum zu wissen, welche Daten gespeichert werden, sondern haben auch ein besonderes Augenmerk auf die Funktionen gelegt, mit denen das Gerät des Kindes gesteuert werden kann. Es war interessant zu sehen, ob es möglich ist, Berechtigungen zu umgehen, ob Geräte von anderen Benutzern gesteuert werden können oder ob Kinder ihre Eltern über diese Dashboards angreifen können.

Gefundene Schwachstellenklassen

Obwohl unser Fokus besonders auf Autorisierungsschwachstellen lag, haben wir auch zahlreiche verschiedene Testklassen des OWASP Mobile Application Security Testing Guide (MASTG) und des Web Security Testing Guide (WSTG) Frameworks näher angesehen. Wir wollten herausfinden, ob Nutzer Zugriff auf die Daten anderer Nutzer haben und ob sie dadurch Smartphones oder Tablets anderer Kinder (oder Eltern) steuern bzw. auslesen könnten. Keine der getesteten Apps erlaubte es, andere Geräte zu steuern.  

In lediglich einer der getesteten Apps konnten Daten wie zum Beispiel eine Liste installierter Apps oder andere Nutzungsmetadaten (z. B. Gesamt-SMS, App-Nutzungszeit, Anzahl der Kontakte usw.) über die API von einem anderen Gerät ausgelesen werden.

Apps, die ein Web-Dashboard für die Eltern bereitstellen, sind oft anfällig für typische webbasierte Angriffe wie Cross-Site Request Forgery (CSRF), Clickjacking und Cross-Site-Scripting (XSS). So auch in unserem Test. Zwei der getesteten Apps erlaubten einen Angriff auf das Eltern-Gerät mithilfe eines Cross-Site-Scripting (XSS)-JavaScript-Payloads.

Wenn ein Elternteil das Web-Dashboard der App verwendet, könnte das Gerät der Kinder willkürliche Aktionen im Namen der Eltern ausführen, möglicherweise aktuelle Beschränkungen umgehen oder Zugriff auf die Logindaten der Eltern erhalten.

Eine andere der getesteten Überwachungs-Apps ermöglichte es dem Kind mangels ordnungsgemäßem Session management die eigenen Rechte über die API zu erweitern. Die Deaktivierung aller von den Eltern gesetzten Beschränkungen wäre somit möglich.

Bei allen getesteten Apps konnten die gesetzten Einschränkungen umgangen werden, indem man der Anwendung in den Android-Einstellungen die entsprechenden Berechtigungen entzog. Auf diese Weise könnten Kinder ihr Smartphone uneingeschränkt nutzen.

Alle getesteten Anwendungen verlassen sich auf einige spezielle Android-Berechtigungen wie „Geräteverwaltung“, „Zugriff auf Nutzungsdaten“, „Bedienungshilfen“ und „Über anderen Apps einblenden“. Allerdings haben Gerätebesitzer dank dem Zustimmungsmechanismus im Android Sicherheitsmodells immer die Möglichkeit, Berechtigungen von einer App zu entfernen.

Einige getestete Anwendungen versuchen dies zu verhindern, indem sie z.B. Overlays über die Systemeinstellungen zeichnen.

Wird das Gerät in den abgesicherten Android-Modus gestartet (langes Drücken der „Ausschalten“- oder „Neustart“-Taste auf dem Telefon), werden jedoch alle Anwendungen von Drittanbietern deaktiviert und daher kann selbst die Kontroll-App deinstalliert oder ihre Berechtigungen entzogen werden. Der abgesicherte Modus stellt also eine einfache Möglichkeit dar, die erwähnten Berechtigungen der Kinder-App zu entfernen und auferlegte Einschränkungen zu umgehen. Durch das Deaktivieren des Internetzugangs während dieses Vorgangs werden Eltern außerdem gar nicht über diese Änderungen informiert.     

Abhilfe schaffen würde nur die Bereitstellung eines vollständig verwalteten Geräts, das von einem Device Policy Controller gesteuert wird, der als Gerätebesitzer fungiert. Keine der bewerteten Apps nutzt diese spezielle Android-Funktion. Die Einrichtung würde einige zusätzliche Schritte erfordern, die einen Computer und ADB-Zugriff auf das Gerät des Kindes erfordern, was für die meisten Eltern eher unpraktikabel sein dürfte.

Anzahl gefundener Schwachstellen

Boomerang Familytime Find my Kids Kidssecurity Parental Control Kids Place Parental Control Parental Control Kroha Qustodio Wondershare
4 2 1 2 5 2 1 1

Die obige Tabelle zeigt die Anzahl der identifizierten Schwachstellen für jede App. Wie bereits erwähnt, werden wir keine weiteren Details veröffentlichen, solange die Schwachstellen nicht von den Herstellern behoben wurden. Bitte beachten Sie, dass die Sicherheitsüberprüfungen für jede App zeitlich begrenzt waren und keine detaillierte Sicherheitsüberprüfung durchgeführt wurde. Eine App mit nur einer (derzeit bekannten) Schwachstelle macht diese App nicht automatisch sicherer als eine App mit beispielsweise zwei Problemen.

Anmerkungen zu Samsung KNOX

Während unserer Recherche hatten wir kurzzeitig die Gelegenheit, ein Samsung Galaxy S9-Gerät eines Kindes und ein Samsung Galaxy S22 Ultra als Elterngerät auszuprobieren. Auf dem Gerät war die Kindersicherungs-App „Boomerang“ installiert. Samsung KNOX ermöglichte sodann einen noch feineren Ansatz, um Sicherheitsbeschränkungen festzulegen. Es konnte verifiziert werden, dass, wenn Samsung KNOX auf dem Telefon verfügbar ist, ein Elternteil das Herunterfahren des Telefons oder das Booten in den abgesicherten Modus deaktivieren könnte. Weitere Untersuchungen zu anderen verfügbaren Samsung KNOX-Funktionen wurden nicht durchgeführt, weil Samsung KNOX nicht Gegenstand dieser Überprüfung war. Es wurde lediglich verifiziert, dass die oben erwähnte Umgehung des „abgesicherten Modus“ auf einem Gerät mit Samsung KNOX nicht ausgenutzt werden kann.

 

Screenshot: Verfügbare Beschränkungsfunktionen der Boomerang App mit Samsung KNOX im Web-Dashboard

Datenschutzbedenken

Apps zur Kindersicherung und Nutzungskontrolle speichern und übertragen viele personenbezogene und hochsensible Informationen. Dazu zählen beispielsweise die Liste der installierten Apps, das Nutzungsverhalten von Kindern auf ihren Geräten, gespeicherte Kontakte, Fotos, GPS-Standort, Telefonanruf-Metadaten und eingehende Benachrichtigungen oder sogar vollständige Inhalte von Textnachrichten. Dies könnte natürlich die erwartete Vertraulichkeit von Nachrichten untergraben, die über Ende-zu-Ende-verschlüsselte Messaging-Apps gesendet werden. 

Hier ist eine Liste identifizierter Anbieter-Website-Standorte (die von den Anbietern für ihre Online-Präsenz, Dokumentation oder den Download der Apps verwendet werden), die anhand der IP-Adressen und Domains verifiziert wurden. Bitte beachten Sie, dass sich diese Informationen in Zukunft verändern können und auch von Ihrem aktuellen Standort (sogen. "Geolocation") abhängen.

Informationen zu den Herstellern

App Website IP Addresse Land Hosting Anbieter
Familytime familytime.io 52.41.209.2 USA AWS
Boomerang useboomerang.com 52.6.209.77 USA MS
Qustodio qustodio.com 18.66.15.17 Österreich Cloudfront
Wondershare famisafe.wondershare.com 104.83.4.209 Österreich Akamai
Find my Kids findmykids.org 81.163.16.10 Russland Selectel Network
Parental Control Kroha parental-control.net 116.203.4.110 Deutschland Hetzner
Kids Place Parental Control kiddoware.com 52.26.248.67 USA AWS
Kidssecurity Parental Control kidsecurity.org 185.98.5.225 Kazakhstan Hoster.KZ

Eltern sollten sich bei der Nutzung von Kinderschutz-Apps bewusst sein, dass diese Informationen auf den Servern der App-Anbieter landen und Sie dem Anbieter einen großen Vertrauensvorschuss zukommen lassen. Leider haben die Serverbetreiber der untersuchten Apps vollständigen Zugriff auf die gespeicherten Daten im Klartext, da diese nicht Ende-zu-Ende-verschlüsselt sind, bevor sie das Gerät des Kindes verlassen (die Übertragung über das Netzwerk ist jedoch per TLS gesichert). Im Falle eines Datenlecks wären all diese sensiblen Informationen für Angreifer ebenfalls im Klartext zugänglich

Des Weiteren haben wir zahlreiche Server von Drittanbietern identifiziert, welche beim Aufruf der Applikationen kontaktiert werden. Diese werden Großteils eingesetzt, um das Nutzungsverhalten der Benutzer innerhalb der Applikationen bzw. des Web-Dashboards aufzuzeichnen. Einige zeichnen sogar jede Mausbewegung und jeden Klick im Detail auf. Beispielsweise sendet das Web-Dashboard der App „Find My Kids“ zahlreiche Daten – in Abhängigkeit der Mausbewegung – zu einer russischen Tracker-Domain (mc.yandex.ru). Eine Aufstellung dieser Server finden Sie weiter unten in der entsprechenden Tabelle.

Da Sie dem Softwareanbieter zwangsweise vertrauen müssen und wenig Kontrolle über die Daten des Kindes haben, ist die Auswahl der richtigen Kindersicherungs-App keine leichte Aufgabe.

Die folgende Tabelle listet alle identifizierten Domains oder Server von Drittanbietern auf, die bei der Verwendung der Web-Dashboards oder Websites des Anbieters kontaktiert werden. Diese Liste ist nicht notwendigerweise vollständig und kann sich auch in Zukunft verändern. Es ist auffallend, dass fast alle Hersteller entsprechende Tracking-Dienste nutzen.

Hier werden Daten an externe Hosts übertragen

App Hosts
Familytime dashboard.familytime.io, familytime.io, www.google-analytics.com, region1.google-analytics.com, widget-mediator.zopim.com, stats.g.doubleclick.net, googleads.g.doubleclick.net, familytime.zendesk.com, www.google.com, www.facebook.com
   
Boomerang app.useboomerang.com, netdna.bootstrapcdn.com, maps.googleapis.com, ajax.googleapis.com, google-anlytics.com, static.zdassets.com, ekr.zdassets.com, khms1.googleapis.com, boomerangsupport.zendesk.com, widget-mediator.zopim.com
   
Qustodio *.rollout.io, api.hermes.qustodio.com, *.qustodio.com, bam.nr-data.net, browser.sentry-cdn.com, cdn.segment,com, cookiebot.com, d.impactradius-event.com, doubleclick.net, js-agent.newrelic.com, maps.googleapis.com, qustodio.sjv.io, google-analytics.com, braze.eu, static.hotjar.com, googletagmanager.com, gstatic.com
   
Wondershare Famisafe famisafe.wondershare.com, analytics.300624.com, app-api-pro.famisafe.com, www.facebook.com, region1.analytics.google.com
   
Find my Kids my.findmykids.org, api.findmykids.org, mc.yandex.ru, fonts.gstatic.com, www.googletagmanager.com, c.tile.openstreetmap.org, region1.analytics.google.com
   
Parental Control Kroha api.parentalcontrolkroha.net
   
Kidsplace onesignal.com, facebook.net, stripe.com, kiddoware.com, doubleclick.net, weareoutman.github.io, google-analytics.com googletagmanager.com
   
Kidssecurity Parental Control report.appmetrica.yandex.net, geocode-maps.yandex.ru, svc.kidsecurity.tech, *.googleapis.com

Tipps für Eltern zur Auswahl von Apps zur Kindersicherung 

Leider gibt es keine perfekte Anwendung zur Einschränkung des Nutzungsspielraumes auf mobilen Geräten. Jede scheint einen anderen Mangel zu haben. Somit kommt es auf Ihre eigene Risikoeinschätzung an, für welche Anwendung Sie sich entscheiden. Bei der Auswahl von Drittanbieter-Apps empfehlen wir, den Ruf der Anbieter sorgfältig zu prüfen. Dazu gehören Online-Bewertungen, Impressum, AGB und Datenschutzerklärung des Anbieters.

Hier sind ein paar weitere Fragen, um Ihnen die Evaluierung zu erleichtern: 

  • Sind Sie wirklich bereit, dem Anbieter zu vertrauen?  
  • Sind Sie sich bewusst und einverstanden, wo die personenbezogenen Daten gespeichert werden?  

  • Ist der Anbieter-Support kommunikativ und stellt er Endbenutzern relevante Informationen zur Verfügung?  

  • Können die gegebenen Informationen überprüft werden?  

  • Befindet sich der Anbieter in einem Land, das Datenschutzrichtlinien gem. DSGVO einhält? 

Ein kürzlich veröffentlichter Blogbeitrag des SEC Consult Vulnerability Lab zeigte auf, dass eufyCam / Anker die explizite Nicht-Verwendung der Cloud („local storage only“) als Feature für ihre Überwachungskameras propagieren, aber trotzdem vertrauliche Daten (z.B. Vorschaubilder) in die Cloud übertragen.

Die folgenden Server werden von den Anbietern für die Backend-Kommunikation (API) verwendet. Alle Nutzungsdaten der Kinder werden dort unverschlüsselt gespeichert, wie oben im Kapitel „Datenschutz“ erwähnt.

Wohin gehen die Daten Ihrer Kinder?

API-Server getesteter Kinderschutz-Apps
App Domain IP Adresse Land Hosting Anbieter
Familytime mesh2.familytime.io 54.214.103.107 USA AWS
Boomerang app.useboomerang.com 23.96.102.165 USA MS
Quostodio api.qustodio.com 34.193.42.147 USA AWS
Wondershare us-west-data-api.famisafe.com 47.88.22.34 USA Alicloud
Find my Kids api.findmykids.org 159.69.174.250 Deutschland Hetzner
Parental Control Kroha api.parentalcontrolkroha.net 116.203.4.110 Deutschland Hetzner
Kids Place Parental Control kidsplace.kiddoware.com 54.148.41.244 USA AWS
Kidssecurity Parental Control api.kidsecurity.tech 167.99.251.182 Deutschland DigitalOcean

Versuchen Sie auch zu überprüfen, wie der Anbieter auf Sicherheitslücken reagiert. In unserem Fall haben einige der Anbieter sofort nach unserer Kontaktaufnahme mit der Arbeit an einem Fix begonnen, einige haben bis heute nicht einmal richtig geantwortet. Wir fügen Informationen über die Kommunikation immer in der Zeitleiste unserer Sicherheitshinweise hinzu. Dies kann Ihnen dabei helfen, festzustellen, ob die Hersteller offenbar über ausgereifte Prozesse zur Behandlung von Schwachstellen (wie in ISO/IEC 30111:2019 beschrieben) oder (idealerweise) über ein Informationssicherheits-Managementsystem (ISMS) verfügen.

Wir empfehlen auch, sich die Kindersicherungsfunktionen des Betriebssystems (OS) anzusehen, wie Google Family Link für Android oder Apple Family Sharing für iOS. Diese sind fest in das Betriebssystem integriert und erlauben keine einfachen Umgehungen über den abgesicherten Modus wie oben beschrieben. Auf den ersten Blick auf „Family Link“ geht hervor, dass sich die Entwickler bei der Gestaltung dieser Funktionen sehr viele Gedanken gemacht haben, insbesondere im Hinblick auf die Zustimmung der Kinder und das Recht auf Privatsphäre.

Wir weisen ausdrücklich darauf hin, dass keine detaillierte Analyse der nativen Betriebssystemfunktionen durchgeführt wurde, aber sie stehen auf unserer To-do-Liste für die Zukunft.

Zu guter Letzt, sollten Eltern ihre Kinder immer über die Verwendung von Software auf ihren Geräten informieren und erklären, warum diese Tools im Einsatz sind und welche Überwachungsfunktionen von den Eltern verwendet werden.   

Fazit

Kindersicherheits- und Kontroll-Apps bergen offenbar einige Schwachstellen. Selbst wenn Kinder einwilligen, dass ihre Eltern ihre Aktivitäten auf ihren Smartphones überwachen, bleibt ihre Privatsphäre gefährdet, solange ungewiss ist, wie Softwareanbieter die Daten speichern oder wer später möglicherweise Zugriff darauf erhält. Sicherheitslücken in der Programmierung werfen zusätzliche Datenschutzbedenken auf. Vielleicht gelingt es kreativen Kindern sogar, die Restriktionen zu umgehen und dem Überwachungs-Kindermädchen selbst zu entkommen.

Es ist nicht nur wichtig, dass sich Eltern bei der Smartphone-Nutzung ihrer Kinder sicher fühlen, sondern auch, dass Kinder mit den Sicherheitsmaßnahmen ihrer Eltern einverstanden sind
Bernhard Gründling, Researcher

Weihnachten steht vor der Tür und viele Kinder werden wahrscheinlich Handys oder Tablets geschenkt bekommen. Daher ist es wichtig, dass Eltern die Wahl der Kindersicherungs-App unter Sicherheits-, Datenschutz- oder rechtlichen Gesichtspunkten sorgfältig abwägen und mit ihrem Kind über die Verwendung sprechen.

Zeitplan

Dieses Forschungsprojekt wurde von Fabian Densborn und Bernhard Gründling von August bis November 2022 durchgeführt. Die Anbieter bestimmter Apps wurden im Rahmen unseres Prozesses zur verantwortungsvollen Offenlegung von Sicherheitslücken kontaktiert und über die identifizierten Schwachstellen informiert. Manche haben bereits begonnen, an einem Patch zu arbeiten. Erst nach Abschluss des Responsible Disclosure Prozesses und Behebung der gravierenden Schwachstellen wird SEC Consult die bisher unveröffentlichten Details zu den Schwachstellen veröffentlichen.

 

Dieser Research wurde von Fabian Densborn und Bernhard Gründling im Auftrag des SEC Consult Vulnerability Lab durchgeführt.
SEC Consult ist immer auf der Suche nach talentierten Sicherheitsexperten, die unser Team verstärken möchten. Weitere Informationen finden Sie unter: https://www.sec-consult.com/de/karriere