Millionen von sensiblen Daten, inklusive Standorte, Audioaufnahmen und private Nachrichten, aus der beliebten Kinder-Tracking-App "Kid Security" waren ungeschützt im Internet auffindbar. Sicherheitsforscher entdeckten dies.

"Kid Security" hilft Eltern, ihre Kinder zu überwachen, besonders wenn sie außer Reichweite oder nicht am Handy sind. Entwickelt in Kasachstan und verfügbar in den App-Stores von Google und Apple, wurde die App millionenfach heruntergeladen. Jedoch waren sensible Daten wie Standortinformationen und Nachrichten aus Instagram, WhatsApp, Telegram und VK über ein Jahr lang online einsehbar.

Die App, die in die Privatsphäre von Kindern eingreift, zeigt erhebliche IT-Sicherheitsprobleme. Zwar waren viele Daten im Leck anonymisiert, doch nicht alle: Durch die Kombination mit anderen Daten ist es deshalb möglich, Minderjährige zu identifizieren. Eine Funktion der App erlaubt das Fernaktivieren des Mikrofons, was ohne ausreichende Authentifizierung riskant ist.

Die meisten betroffenen Daten kommen aus Russland, Osteuropa und dem Nahen Osten. Einige Nachrichten stammen sogar von Kindern auf deren Telefonen die App gar nicht installiert worden war. Ein offener Datenverbund wurde als Ursache erkannt. Am 7. Februar fanden Forscher das Leck mit über 100 Gigabyte an Daten. Der Zugang wurde erst abgesichert, nachdem Cybernews den Hersteller kontaktierte. Eine Antwort von "Kid Security" steht noch aus.

SiBa empfiehlt, Apps vor einer Installation immer sorgfältig zu prüfen: Wer ist der Anbieter, wo hat dieser seinen Sitz, welche Daten erhebt die App und steht das in Relation zum Nutzen, den ich mir erhoffe? Darüber hinaus ist insbesondere der Einsatz von Apps zum Tracken von Kindern bedenklich: Sie bilden einen erheblichen Eingriff in das informationelle Selbstbestimmungsrecht der Betroffenen!