Es wurde festgestellt, dass Kid Security, eine beliebte Kindersicherungs-App mit Millionen von Downloads, vertrauliche Informationen über Kinder preisgibt. Die App, die für Android und iOS verfügbar ist, stellt GPS-Standorte, private Nachrichten, E-Mail-Adressen, IP-Adressen und mehr bereit. Die Daten waren über ein Jahr lang für jedermann zugänglich, wie Sicherheitsforscher von Cybernews herausfanden. Dasselbe Team hatte bereits im November 2023 über ein Datenleck durch Kid Security berichtet.
Sicherheitsforscher entdecken ein weiteres Datenleck von Kid Security
Kid Security ist eine mobile App, die Eltern auf den Telefonen ihrer Kinder installieren können, um deren Standorte zu verfolgen, ihre Umgebung zu überwachen, wenn sie unterwegs sind, Bildschirmzeiten zu begrenzen, digitale Interaktionen zu steuern und vieles mehr. Es wurde von einem Unternehmen mit Hauptsitz in Kasachstan entwickelt und funktioniert zusammen mit einer anderen App namens „Tigrow!“. um Eltern die volle Kontrolle darüber zu geben, was ihre Kinder auf ihren Telefonen tun.
Leider haben schlechte Sicherheitsmaßnahmen dazu geführt, dass die App ihren Nutzern mehr geschadet als genützt hat. Laut Cybernews ist es den Entwicklern von Kid Security „fehlgeschlagen, die Authentifizierung für ihren Kafka-Broker-Cluster zu konfigurieren“. Dadurch wurden sensible Daten kompromittiert, die von den Telefonen Minderjähriger gesammelt wurden. Zu den durchgesickerten Daten gehörten private Nachrichten von verschiedenen Chat-Apps, darunter Instagram, WhatsApp, Telegram, Viber und Vkontakte.
Durch das Leck wurden auch die E-Mail-Adressen der Eltern, IP-Adressen, Listen der auf Telefonen installierten Apps und deren Nutzungsstatistiken, Audioaufzeichnungen der Umgebung von Minderjährigen, Gerätestandorte, IMEI-Nummern und andere Datenformen offengelegt. Das Schlimmste daran ist, dass jeder, auch Bedrohungsakteure, auf die Daten zugreifen könnte. Und zwar nicht für einen Tag oder eine Woche, sondern für ein ganzes Jahr, was ein massives Sicherheitsrisiko für Eltern und Minderjährige darstellt.
Informationen wie E-Mail-Adressen, Social-Media-Nachrichten, IMEI-Nummern und GPS-Standorte reichen aus, um einen Benutzer genau zu bestimmen. Einige durchgesickerte Gruppenchats enthielten im Titel bestimmte Schulnamen und Klassenbezeichnungen, was es einem Bedrohungsakteur zusätzlich ermöglichte, eine Person einzugrenzen. Sie könnten die Sound Around-Funktion auch nutzen, um die Umgebung eines Kindes ohne dessen Wissen zu hören und aufzuzeichnen.
Das Leck betraf auch Kinder, die diese App nicht nutzen
Von diesem Datenleck waren auch Kinder betroffen, auf deren Telefonen Kid Security nicht installiert war. Ihre mit dieser App an Kinder gesendeten Nachrichten wurden offengelegt. Dazu gehörten Gruppenchats mit den oben genannten Besonderheiten. Von dem Leck waren vor allem Menschen in der Russischen Föderation, Osteuropa und dem Nahen Osten betroffen, obwohl auch eine beträchtliche Anzahl von Menschen aus anderen Regionen die App nutzt.
Cybernews entdeckte dieses Leck im Februar 2024. Der Cluster ist seit Januar 2023 geöffnet. In diesem Zeitraum wurden über 100 GB an Informationen offengelegt. Die Forscher beobachteten den Cluster über eine Stunde lang und erhielten 456.000 private Nachrichten und App-Nutzungsstatistiken von 11.000 Telefonen. Das ist eine bemerkenswert große Datenmenge, die innerhalb einer Stunde kompromittiert wurde. Bedrohungsakteure könnten die Informationen nutzen, um verheerendere Angriffe zu starten.
Die Veröffentlichung wandte sich an die Entwickler von Kid Security, nachdem sie dieses Leck entdeckt hatte. Anschließend sicherte das Unternehmen den Cluster, es entstand jedoch bereits Schaden. Wenn man bedenkt, dass das Leck über ein Jahr lang ungepatcht blieb, haben die Entwickler den Cluster wahrscheinlich nicht aktiv überwacht. Ein früheres Leck enthüllte außerdem Tausende von Telefonnummern, E-Mail-Adressen und Aktivitätsprotokollen der Benutzer der App.
Wenn Sie oder jemand, den Sie kennen, Kid Security verwendet, ist es möglicherweise sicherer, es zu deinstallieren und zu einer anderen Kindersicherungs-App zu wechseln. Sie sollten auch im Hinblick auf die Sicherheit Ihres Kindes wachsam bleiben, da das Leck Ihre Daten gefährdet haben könnte.
