Security

Forscher finden Sicherheitslücken in Tracker-Apps

| Redakteur: Lisa Marie Waschbusch

Your smartphone is watching you: Viele Tracker-Apps, mit denen beispielsweise Eltern ihre Kinder orten können, haben gravierende Sicherheitslücken.
Your smartphone is watching you: Viele Tracker-Apps, mit denen beispielsweise Eltern ihre Kinder orten können, haben gravierende Sicherheitslücken. (Bild: Fraunhofer SIT)

Apps, um den Nachwuchs zu orten oder dessen Internetaktivitäten auf dem Smartphone zu überwachen, sind keine Seltenheit. Nun haben Forscher des Fraunhofer-Instituts SIT massive Sicherheitslücken dieser Apps festgestellt. Sogar Bewegungsprofile der Kinder könnten ausgelesen werden.

Um den Nachwuchs buchstäblich auf Schritt und Tritt zu überwachen, setzen viele Eltern gerne auf Tracker-Apps für Smartphones. Damit können die Kinder nicht nur geortet, sondern auch ihre Internetaktivitäten kontrolliert werden. Was die wenigstens allerdings wissen: Was sich zuerst nach Sicherheit anhört, kann im schlimmsten Fall genau das Gegenteil auslösen.

Denn Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben jetzt herausgefunden, dass viele dieser umstrittenen Apps massive Sicherheitslücken aufweisen. Sie haben 19 legale Apps, die im Google Play Store angeboten werden und laut Google mehrere Millionen Mal installiert wurden, untersucht und geprüft, wie die hochsensiblen Nutzerdaten, die diese Apps erheben, geschützt sind. Das Ergebnis: Alle Apps haben gravierende Schwachstellen, keine einzige Anwendung war sicher programmiert. Insgesamt sollen die Forscher 37 Sicherheitslücken gefunden haben.

Kontrolle über Aufenthaltsort, Chatverläufe und Browseraktivitäten

Durch diese Schwachstellen, so Fraunhofer, ist es Angreifern möglich, ein Bewegungsprofil des Kindes zu erstellen, Chats und SMS zu lesen und Bilder anzusehen. Dabei müssen sie nicht jedes Smartphone einzeln überwachen, sondern können zeitgleich Millionen von Nutzern angreifen, die diese Apps auf ihrem Handy haben. Zum ersten Mal vorgestellt haben die Wissenschaftler des Fraunhofer SIT ihre Ergebnisse am 11. August auf der DEF CON Hacking Conference in Las Vegas.

Die hochsensiblen Daten werden meist im Klartext auf einem Server abgespeichert, ohne durch korrekte Verschlüsselung abgesichert zu sein. „Wir mussten lediglich eine bestimmte Webseite aufrufen und einen Nutzernamen in die URL eingeben oder raten, um das Bewegungsprofil einer Person aufzurufen“, erklärt Fraunhofer-Projektleiter Siegfried Rasthofer. Auf einem Server konnten die Forscher komplette Bewegungsprofile auslesen. Damit sei eine Echtzeitverfolgung tausender Menschen möglich, so Rasthofer.

Darüber hinaus ist es den Wissenschaftlern gelungen, die Anmeldeinformationen der App-Nutzer auszulesen. Auch diese waren bei den meisten Apps unverschlüsselt oder ungenügsam verschlüsselt gespeichert. Die Fraunhofer-Wissenschaftler haben die App-Anbieter sowie den Google Play Store über ihre Entdeckungen informiert. 12 der 19 untersuchten Apps sind inzwischen aus dem Play Store entfernt worden. Andere Anbieter hingegen haben gar nicht reagiert.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45446518 / Security)