Kritisches Datenleck in Kinderüberwachungs-App "Kid Security"

Millionen Datensätze waren bei der Tracking-App Kid Security laut Sicherheitsforschern offen einsehbar, darunter GPS-Daten, Audioaufnahmen und private Chats.

25

(Bild: Syda Productions / shutterstock.com)

06.04.2024, 18:30 Uhr

Lesezeit: 4 Min.

Von

Stefan Krempl

"Kid Security ist eine Tracker-App für die Eltern, mit der Sie ruhig sein können, wenn Ihr Kind nicht nebenan ist und das Handy nicht abhebt." So wirbt die in Kasachstan sitzende, nach der Anwendung benannte Entwicklerfirma im Google Play Store für ihr Produkt. Auch im App Store von Apple findet sich die "Ortungs-App" zur "Kindersicherung", die zusammen mit einer weiteren Mobil-Anwendung namens Tigrow vermarktet wird. Doch beruhigt zurücklehnen können sich Nutzer der millionenfach heruntergeladenen App nicht mehr: Über ein Jahr lang sollen IT-Sicherheitsforschern zufolge Millionen Datensätze online offen einsehbar gewesen sein, darunter hochsensible GPS-Standortinformationen und private, etwa über Instagram, WhatsApp, Telegram und VK (VKontakte) verschickte Nachrichten auf den Smartphones der kontrollierten Kinder.

2023 habe Kid Security schon einmal aufgrund eines fehlerhaften Authentifizierungsverfahrens über 300 Millionen Datensätze inklusive 21.000 Telefonnummern und 31.000 E-Mail-Adressen ungewollt veröffentlicht, schreibt das litauische Portal Cybernews. In beiden Fällen hat die portaleigene Forschungsabteilung die Lücken entdeckt. Beim zweiten Mal seien nun auch IP-Adressen, Informationen aus den App-Stores wie das Land des Nutzers, für Transaktionen verwendete Währungen, Start- und Ablaufdatum des Abonnements, Listen der auf Telefonen installierten weiteren Apps und deren Nutzungsstatistiken erkenn- und abrufbar gewesen. Hinzu kämen Angaben über Belohnungen für Kinder für die Erledigung von Aufgaben wie Hausarbeiten, Audioaufnahmen der Umgebung von Minderjährigen, die Gerätenummer IMEI, der Akkustand des Geräts und andere regelmäßig erhobene Metadaten. Es sei wahrscheinlich, dass auch Bedrohungsakteure Zugriff auf die Daten hatten.

Der Einsatz von Tracking-Apps ist generell umstritten, da die damit verknüpften Eingriffe in das informationelle Selbstbestimmungsrecht des Nachwuchses groß sind. Die von Kid Security vernachlässigte IT-Sicherheit vergrößert dieses Problem massiv. "Einige der Daten waren anonymisiert und konnten nicht direkt einem bestimmten Kind zugeordnet werden", schränkt Cybernews zwar ein. Doch offengelegte E-Mails der Eltern, Aufzeichnungen empfangener Social-Media-Nachrichten und IMEIs hätten als Mittel zur Identifizierung von Minderjährigen dienen können. Außerdem seien einige der geleakten Gruppenchats mit spezifischen Schulnamen und Klassenbezeichnungen betitelt gewesen, was eine Zuordnung der Beteiligten weiter erleichtert habe. Die App verfüge über eine "Sound Around"-Funktion, die es Eltern ermöglicht, das Mikrofon des Handys zu aktivieren. Die fehlende Authentifizierung auf den Systemen der App habe es prinzipiell jedem gestattet, diese Aufnahmen anzuhören.

Laufender riesiger Informationsstrom war offen anzapfbar

Den analysierten Daten zufolge stammen die von dem Leck Betroffenen vor allem aus Russland, dessen Nachbarstaaten, Osteuropa und dem Nahen Osten. Darunter seien auch Chats von Kindern gewesen, auf deren Telefonen die App nicht installiert worden war, wenn diese Nachrichten an Freunde oder Bekannte mit der Anwendung sendeten. Als Ursache haben die Experten einen offenen Cluster auf Basis der Software Apache Kafka ausgemacht. Dabei handelt es sich um eine Open-Source-Plattform, die Echtzeit-Datenübertragung zwischen Systemen ermöglicht. Eine Verbindung zu einem Kafka-Cluster kann dazu führen, dass kontinuierlich große Datenmengen empfangen werden. Cybernews zufolge ähnelte das Leck so einem fließenden Informationsstrom, bei dem im Laufe der Zeit erhebliche Mengen privater Daten zusammenkamen.

Als die Forscher den offenen Kafka-Cluster am 7. Februar fanden, sollen bereits über 100 Gigabyte in seinem Cache gespeichert gewesen sein. Allein innerhalb einer Stunde seien über 456.000 Social-Media-Nachrichten von den Handys der Minderjährigen eingegangen, sowie Statistiken zur Anwendungsnutzung von 11.000 Telefonen. Die Verbindung der Forscher zum Cluster sei innerhalb dieser 60 Minuten nicht getrennt worden. Erst nachdem Cybernews Kontakt mit dem Hersteller aufgenommen hatte, habe dieser den Zugang gesichert. Dies deute darauf hin, dass die Systeme wohl nicht aktiv von den Entwicklern überwacht worden waren. Eine Rückmeldung von Kid Security habe man bis dato nicht erhalten. Der falsch konfigurierte Cluster sei erstmals im Januar 2023 von einer auf das Internet der Dinge spezialisierten Suchmaschine indiziert worden.