Security

Forscher finden Sicherheitslücken in Tracker-Apps

Apps, um den Nachwuchs zu orten oder dessen Internetaktivitäten auf dem Smartphone zu überwachen, sind keine Seltenheit. Nun haben Forscher des Fraunhofer-Instituts SIT massive Sicherheitslücken dieser Apps festgestellt. Sogar Bewegungsprofile der Kinder könnten ausgelesen werden.

Um den Nachwuchs buchstäblich auf Schritt und Tritt zu überwachen, setzen viele Eltern gerne auf Tracker-Apps für Smartphones. Damit können die Kinder nicht nur geortet, sondern auch ihre Internetaktivitäten kontrolliert werden. Was die wenigstens allerdings wissen: Was sich zuerst nach Sicherheit anhört, kann im schlimmsten Fall genau das Gegenteil auslösen.

Denn Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben jetzt herausgefunden, dass viele dieser umstrittenen Apps massive Sicherheitslücken aufweisen. Sie haben 19 legale Apps, die im Google Play Store angeboten werden und laut Google mehrere Millionen Mal installiert wurden, untersucht und geprüft, wie die hochsensiblen Nutzerdaten, die diese Apps erheben, geschützt sind. Das Ergebnis: Alle Apps haben gravierende Schwachstellen, keine einzige Anwendung war sicher programmiert. Insgesamt sollen die Forscher 37 Sicherheitslücken gefunden haben.

Kontrolle über Aufenthaltsort, Chatverläufe und Browseraktivitäten

Durch diese Schwachstellen, so Fraunhofer, ist es Angreifern möglich, ein Bewegungsprofil des Kindes zu erstellen, Chats und SMS zu lesen und Bilder anzusehen. Dabei müssen sie nicht jedes Smartphone einzeln überwachen, sondern können zeitgleich Millionen von Nutzern angreifen, die diese Apps auf ihrem Handy haben. Zum ersten Mal vorgestellt haben die Wissenschaftler des Fraunhofer SIT ihre Ergebnisse am 11. August auf der DEF CON Hacking Conference in Las Vegas.

Die hochsensiblen Daten werden meist im Klartext auf einem Server abgespeichert, ohne durch korrekte Verschlüsselung abgesichert zu sein. „Wir mussten lediglich eine bestimmte Webseite aufrufen und einen Nutzernamen in die URL eingeben oder raten, um das Bewegungsprofil einer Person aufzurufen“, erklärt Fraunhofer-Projektleiter Siegfried Rasthofer. Auf einem Server konnten die Forscher komplette Bewegungsprofile auslesen. Damit sei eine Echtzeitverfolgung tausender Menschen möglich, so Rasthofer.

Darüber hinaus ist es den Wissenschaftlern gelungen, die Anmeldeinformationen der App-Nutzer auszulesen. Auch diese waren bei den meisten Apps unverschlüsselt oder ungenügsam verschlüsselt gespeichert. Die Fraunhofer-Wissenschaftler haben die App-Anbieter sowie den Google Play Store über ihre Entdeckungen informiert. 12 der 19 untersuchten Apps sind inzwischen aus dem Play Store entfernt worden. Andere Anbieter hingegen haben gar nicht reagiert.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.