Kid Security: Sensible Kinderdaten öffentlich zugänglich – Millionen betroffen

Sicherheitslücke bei Kid Security: Millionen von sensiblen Kinderdaten waren öffentlich zugänglich

Die beliebte App Kid Security, die Eltern helfen soll, ihre Kinder zu überwachen und zu schützen, steht derzeit in der Kritik. Nach Angaben von IT-Sicherheitsforschern waren über ein Jahr lang Millionen von Datensätzen, darunter hochsensible GPS-Standortinformationen und private Nachrichten, online verfügbar.

Die Entwicklerfirma, die ihren Sitz in Kasachstan hat, bewirbt ihr Produkt unter dem Namen der Anwendung im Google Play Store. Die App kann auch im App Store von Apple heruntergeladen werden und wird gemeinsam mit einer weiteren mobilen Anwendung namens Tigrow vertrieben.

Gemäß dem litauischen Portal Cybernews wurde im Jahr 2023 berichtet, dass Kid Security aufgrund eines fehlerhaften Authentifizierungsverfahrens versehentlich über 300 Millionen Datensätze veröffentlichte, darunter 21.000 Telefonnummern und 31.000 E-Mail-Adressen. In beiden Situationen wurden die Sicherheitslücken von der Forschungsabteilung des Portals aufgedeckt.

Beim zweiten Vorfall waren zusätzlich zu den IP-Adressen auch Informationen wie das Land des Nutzers, die verwendete Währung für Transaktionen, das Start- und Ablaufdatum des Abonnements sowie Listen der auf den Telefonen installierten weiteren Apps und deren Nutzungsstatistiken erkennbar und abrufbar. Zusätzlich wurden Informationen über Belohnungen für Kinder für die Erfüllung von Aufgaben wie Hausarbeiten, Audioaufnahmen der Umgebung von Minderjährigen, die IMEI-Gerätenummer, der Akkustand des Geräts und andere regelmäßig gesammelte Metadaten hinzugefügt.

Es besteht eine hohe Wahrscheinlichkeit, dass auch unbefugte Personen Zugriff auf die Daten hatten. Die Verwendung von Tracker-Apps wird allgemein kontrovers diskutiert, da sie das Recht auf informationelle Selbstbestimmung der Kinder erheblich beeinträchtigen kann. Die mangelnde Berücksichtigung der IT-Sicherheit seitens Kid Security verschlimmert dieses Problem in erheblichem Maße.

Obwohl einige der Daten anonymisiert waren und nicht direkt einem bestimmten Kind zugeordnet werden konnten, bestand die Möglichkeit, dass durch offengelegte E-Mails der Eltern, Aufzeichnungen empfangener Social-Media-Nachrichten und IMEIs Minderjährige identifiziert werden konnten. Zusätzlich waren bestimmte Schulnamen und Klassenbezeichnungen als Titel in einigen der durchgesickerten Gruppenchats verwendet worden, was es einfacher machte, die Teilnehmer zuzuordnen.

Die App bietet eine Funktion namens „Sound Around“, mit der Eltern das Mikrofon des Mobiltelefons aktivieren können. Da es keine Authentifizierung auf den Systemen der App gab, hatte im Grunde jeder die Möglichkeit, diese Aufnahmen anzuhören.

Basierend auf den analysierten Daten stammen die von dem Leck betroffenen Personen hauptsächlich aus Russland, den angrenzenden Ländern, Osteuropa und dem Nahen Osten. Dazu gehörten auch Unterhaltungen von Kindern, die die App nicht auf ihren Telefonen installiert hatten, wenn sie Nachrichten an Freunde oder Bekannte mit der Anwendung verschickten.

Die Fachleute haben festgestellt, dass ein offener Cluster auf Basis der Apache Kafka Software die Ursache ist. Hierbei handelt es sich um eine Open-Source-Plattform, welche die Echtzeitübertragung von Daten zwischen verschiedenen Systemen ermöglicht. Die Herstellung einer Verbindung zu einem Kafka-Cluster kann dazu führen, dass ständig große Datenmengen empfangen werden.

Gemäß Cybernews glich das Datenleck einem kontinuierlichen Informationsfluss, bei dem im Laufe der Zeit eine beträchtliche Menge an persönlichen Daten zusammengetragen wurde. Am 7. Februar stießen die Forscher auf den ungesicherten Kafka-Cluster, der bereits über 100 Gigabyte an Daten in seinem Cache gespeichert hatte. Innerhalb einer Stunde wurden mehr als 456.000 Social-Media-Nachrichten von den Mobiltelefonen der Minderjährigen empfangen, sowie Statistiken zur Nutzung von 11.000 Telefonen erfasst. Die Forscher waren während dieser 60 Minuten ununterbrochen mit dem Cluster verbunden. Erst nachdem Cybernews den Hersteller kontaktiert hatte, wurde der Zugang gesichert. Dies lässt vermuten, dass die Systeme möglicherweise nicht aktiv von den Entwicklern überwacht wurden.

Bislang haben wir noch keine Antwort von Kid Security erhalten. Die Suchmaschine, die sich auf das Internet der Dinge spezialisiert hat, hat erstmals im Januar 2023 den fehlerhaft konfigurierten Cluster indexiert.

Schlagwörter: Kid + App Store + Cybernews

Wie bewerten Sie den Schreibstil des Artikels?