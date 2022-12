Kindersicherungs-Apps sollen den Nachwuchs vor nicht altersgerechten Inhalten aus dem Internet schützen. Doch smarte Kids könnten die Einschränkungen vergleichsweise einfach komplett umgehen oder sogar Geräte von Eltern attackieren.

Wie aus einem Beitrag hervorgeht, sind Sicherheitsforscher von SEC Consult in acht Android-Apps aus Googles Play Store auf mehrere Schwachstellen gestoßen. Darunter sind etwa Find My Kids (10 Millionen Installationen) und Kids Place Parental Controls (5 Millionen Installationen). Da noch nicht alle Schwachstellen von den Anbietern geschlossen sind, veröffentlichen die Forscher noch keine weiterführenden Details zu möglichen Attacken.

Apps untersucht

Um Sicherheitsproblemen auf die Spur zu kommen, haben die Forscher unter anderem das Pentesting-Framework MobSF auf die Apps losgelassen. Außerdem haben sie sich via Android Debug Bridge (ADB) auf Geräten umgeschaut. Für die Analyse auf einem Gerät haben sie die Apps eigenen Angaben zufolge auf einem gerooteten Pixel 4a mit Android 11 installiert.

Bei ihren Untersuchungen stießen sie an mehreren Fronten auf Sicherheitsprobleme. So könnten Angreifer beispielsweise via ADB auf ungesicherte Backups zugreifen und darüber etwa personenbezogene Daten von Kindern auslesen. Mittels eines Universal-SSL-Pinning-Bypass-Skripts konnten die Forscher den SSL-Pinning-Schutzmechanismus umgehen und hätten sich als Man-in-the-Middle in Verbindungen einklinken können.

Schutz deaktivieren

Um Einschränkungen beim Surfen zu umgehen, müssen Kids keine Hacker sein. Die Sicherheitsforscher geben an, dass ein Entziehen der Berechtigungen der Apps dazu führt, dass die Beschränkungen fallen. Alternativ könnten Kinder ihr Gerät im Safe Mode booten, um uneingeschränkt surfen zu können.

Bei einigen Apps können Eltern Einstellungen über ein Web Interface vornehmen. Aufgrund von CSRF- und XSS-Schwachstellen könnten Jugendliche mit etwas Skript-Erfahrung Geräte von Eltern attackieren, um etwa die Log-in-Daten der Erziehungsberechtigten zu erlangen.

Die Forscher geben an, dass sie die Entwickler über die Schwachstellen informiert haben. Sicherheitspatches sollen zu einem nicht näher beschrieben Zeitpunkt folgen.

Persönliche Daten potenziell einsehbar

Eine Analyse der Daten-Übermittlung hat ergeben, dass die Übertragung an die Server der App-Anbieter, anders als im Netzwerk, unverschlüsselt stattfindet, erläutern die Forscher. Das heißt, dass die Anbieter die personenbezogenen Daten im Klartext mitlesen könnten.

(des)