Erschreckende Mängel in Apps für die Kinderbetreuung

Sicherheitsexperten von der AWARE7 GmbH, dem Max-Planck-Institut für Sicherheit und Privatsphäre, der Security Networks AG und der Ruhr-Universität Bochum haben 42 mobile Apps für die Kinderbetreuung aus dem Google Play Store untersucht und sind dabei auf schwere Datenschutzmängel und kritische Sicherheitslücken gestoßen. Obwohl solche Apps sehr sensible Daten von Minderjährigen verarbeiten und daher sehr restriktiven Datenschutzgesetzen unterliegen, ist der Einsatz dieser Apps alles andere als unbedenklich.

Viele Funktionen, noch mehr Bedenken
Die Kinderbetreuung ist heutzutage ein komplexes Thema, das neben der rein terminlichen Planung auch besondere Betreuungs- und Ernährungsbedürfnisse umfasst. Ausnahmesituationen wie Unfälle, Krankheitsausbrüche oder Streiks müssen schnell und unkompliziert kommuniziert werden, während die Betreuer und Betreuerinnen den Alltag und die Entwicklungsfortschritte ihrer Schützlinge mit Fotos und Videos dokumentieren. Dabei stellen solche Inhalte nur die sichtbare Spitze des stetig wachsenden Eisbergs der tagtäglichen Dokumentation dar. Dazu kommen die Rechnungsstellung und andere Verwaltungsaufgaben. Es verwundert somit nicht, dass Kindertagesstätten, Kindergärten und Vorschulen häufig auf digitale Helfer wie Apps zurückgreifen. Doch obwohl die in diesem Bereich anfallenden Daten besonders sensibel sind, wiesen die untersuchten Apps ganz typische Schwächen in Bezug auf den Datenschutz und die Sicherheit auf. Und, wie so oft, reagierte nur ein Bruchteil der Herausgeber auf die gemeldeten Probleme.

Daten, Daten, Daten
Die heutige Technik ermöglicht die Erfassung aller möglichen Daten. Fotos und Videos gehören zwar zweifelsohne zu den besonders kritischen, doch manche Apps ermöglichen es den Eltern auch, den Standort ihrer Kinder zu überwachen. Als Folge der COVID-Pandemie wurden sogar Funktionen zum Erfassen und Dokumentieren der Körpertemperatur integriert. Wie oft wurde die Windel gewechselt? Die App erfasst es. Für die Abrechnung werden Zahlungsinformationen benötigt und für die Kommunikation die Kontaktdaten der Eltern oder anderer Erziehungsberechtigter. Den Eltern bleibt oft keine Wahl, als die vom Betreuungsanbieter ausgewählte App zu benutzen und darauf zu vertrauen, dass deren Entwickler verantwortungsvoll mit den erfassten Daten umgehen. Schließlich gibt es in der EU mit der DSGVO eine restriktive Datenschutzverordnung, welche die Verwendung der Daten von Minderjährigen für Marketingzwecke oder die Benutzerprofilerstellung ausdrücklich untersagt und den Einsatz hoher Sicherheitsstandards verlangt.

Tracker und Drittanbieter-Bibliotheken
Wie so oft wecken Daten Begehrlichkeiten und Apps kommen heutzutage keinesfalls aus einer Hand. In der Regel enthalten mobile Applikationen diverse Tracker, welche Daten sammeln, sowie Bibliotheken von Drittanbietern, über die diverse Funktionen integriert werden. Der Einsatz von Drittanbieter-Bibliotheken macht durchaus Sinn, schließlich muss nicht jeder Entwickler bei Null anfangen und das Rad neu erfinden, doch Code von Dritten birgt auch immer die Gefahr von Datenabflüssen und Sicherheitslücken, welche der App-Entwickler selbst nicht kontrollieren kann. Mit Hilfe des Tools LibRadar++ wurden in 39 der 42 Apps mindestens 214 Drittanbieter-Bibliotheken gefunden. Die drei verbleibenden Apps werden in Form von XAPKs angeboten, welche sich nicht so leicht untersuchen lassen. Alleine die App PREto3 umfasst 86 fremde Bibliotheken bei brightwheel sind es 81 und bei der Procare: Childcare App immerhin 77. Dass es auch anders geht, zeigen die Kita-Info-App mit nur einer Drittanbieter-Bibliotheken sowie Parent Portal und Sdui mit jeweils drei.

103 der Bibliotheken tarnen sich mit Hilfe von Code-Verschleierungstechniken und konnten daher nicht näher untersucht werden. Bleiben 111 Bibliotheken, von denen 64 Prozent in die Kategorie Programmierhilfen und Funktionen fallen. Weitere 21 Prozent binden soziale Netzwerke an, 11 Prozent dienen der Analyse von Kauf- und Nutzungsverhalten und drei Prozent für Werbezwecke. Besonders kritisch bewerten die Forscher die Integration des OneSignal-Trackers in den Apps OWNA, Kangarootime und LiveKid, welcher eindeutige Botschaften basierend auf dem Verhalten Ihrer Benutzer in der App und in der realen Welt erzeugt. Insgesamt wurden 27 eindeutige Tracking-Bibliotheken nachgewiesen: Von 40 der 42 untersuchten Apps wurde Google Firebase Analytics verwendet und 18 setzten zudem Google CrashLytics ein. Die App Tadpoles Parents umfasste mit sieben die meisten Tracker, während die KiKom Kita App und Parent Portal ganz ohne auskamen. Kritisch war das Verhalten der App LiveKid, die Benutzerdaten per Slack-Nachricht an die Entwickler weiterleitet.

Riskante Berechtigungen
Hinsichtlich der von den Apps geforderten Berechtigungen zählten die Forscher 96, wobei rund die Hälfte (49) allgemeine Android-Berechtigungen und die übrigen 47 App-spezifische Berechtigungen waren. Im Schnitt wurden 19 Berechtigungen gefordert, wobei die Spanne von 3 bis 40 Berechtigungen reichte. Genau aufgeschlüsselt wurden nur jene, welche den Zugriff auf personenbezogene Daten oder die Kontrolle über das Gerät verlangen und die seitens der Autoren deshalb als gefährlich eingestuft wurden. Mit zehn gefährlichen Berechtigungen liegt die App Illumine an der Spitze, gefolgt von LittleLives mit 8 sowie HOKITA-Eltern und LiveKid mit jeweils 7. Einzig die App KigaRoo für Eltern kommt ganz ohne riskante Berechtigungen aus, Sdui und Stramplerbande begnügen sich mit einer.

Datenschutzrichtlinien
Wie eingangs erwähnt, unterliegen die Daten von Minderjährigen in Europa und den USA einem besonderen Schutz. Dennoch zeigte ein Blick auf die Datenschutzrichtlinien der 42 Apps, dass nur 31 die korrekten Datenschutzrichtlinien für Apps zur Kinderbetreuung gewählt hatten. Elf Apps nutzten unpassende Datenschutzrichtlinien, in denen es um die Nutzung von Webseiten oder die Bewerbung um einen Arbeitsplatz ging. Weiterhin gehen 18 der Datenschutzrichtlinien mit keinem Wort auf die Verarbeitung besonders geschützter Daten von Kindern und Jugendlichen ein und zwei Apps lehnen jede Verantwortung für die verarbeiteten Daten kategorisch ab. Die Datenschutzrichtlinien von 22 Apps, also etwas mehr als der Hälfte, erwähnen besondere Schutzmaßnahmen für die Daten der Minderjährigen. Aber nur 13 Apps erwähnen den Datenabfluss an die Tracker von Drittanbietern, obwohl sie hierzu verpflichtet sind. Hierzu passt, dass 13 Firmen erst gar nicht dokumentieren, welche Daten ihre App sammelt.

Sicherheit und die Cloud
Bis auf eine App unterstützen alle anderen auch Android-Versionen, für die es keine Sicherheits-Updates mehr gibt. Die Forscher sehen das kritisch, da für solche Versionen bekannte Angriffe existieren, doch nicht alle Eltern können sich alle zwei bis drei Jahre den Kauf eines neuen Smartphones leisten, zumal die preiswerten Modelle oft nur für wenige Monate Updates erhalten. Dass Android 8.1 in der Theorie noch mit Updates versorgt wird, hat praktisch kaum einen Nährwert, da kaum ein Hersteller diese Updates übernimmt und an seine Kunden weiterreicht. Schwerwiegender ist unserer Ansicht nach, dass 23 Apps die Drittanbieter-Bibliotheken falsch einbinden und dadurch das unbeabsichtigte Überschreiben von geschützten Speicherbereichen ermöglichen. Lediglich zwei Apps verwenden Zertifikat-Pinning, um Mittelsmannangriffe auf die verschlüsselte TLS-Verbindung zu verhindern.

Und da wären wir gleich beim nächsten Problem: 98 Prozent der untersuchten Apps akzeptieren unsichere Transportverschlüsselungen wie TLS 1.1, TLS 1.0 und SSLv3. Fünf der Apps nutzen einen offenen und unsicheren Cloud-Speicher, auf den jeder zugreifen kann. Dort landen dann beispielsweise Fotos, Videos und Termine - sozusagen für die Allgemeinheit. Auf den Backends der Entwickler lief zum Teil veraltete Software und bei vier Anbietern wurden kritische Sicherheitslücken auf den Webseiten entdeckt. In zwei Fällen reichte es aus, als angemeldeter Benutzer die Benutzerkennung in der URL zu ändern, um auf fremde Konten zugreifen zu können. Bei einem anderen Anbieter ließ sich per SQL-Injektion die komplette Datenbank der App herunterladen und in einem weiteren Fall ermöglichte eine GraphQL-Injektion den vollen Zugriff auf alle gespeicherten Daten.

Die Reaktion der App-Entwickler
Die ganze Untersuchung liest sich wie eine Horrorgeschichte und wie bei jeder guten Horrorgeschichte gehört der ganz große Knall dem Ende vorbehalten: Die Verfasser der Studie hatten die 42 App-Entwickler am 12. November 2021, also vor acht Monaten, über die gravierenden Fehler und kritischen Sicherheitslücken informiert. Die große Mehrheit, genauer gesagt 36, haben bis heute nicht reagiert!