Erstellt am: 13. 12. 2016 - 11:30 Uhr
"Smart Sheriff" für Recht und Ordnung
"Smart Sheriff" ist der Name der südkoreanischen App, die die koreanische "Kommunikations-Kommission" (KCC) bei der "Mobile Internet Business Association", MOIBA in Auftrag gegeben hatte. So wollte man Cybermobbing unter Jugendlichen oder den Download von ungeeigneten (oder illegalen) Inhalten unterbinden. Ein entsprechendes Gesetz, das letztes Jahr verabschiedet worden war, verpflichtete die Installation auf den Devices von Kindern und Jugendlichen.
Biedermeier 2.0
2,7 Millionen USD später war "Smart Sheriff" einsatzbereit und sollte fortan die innerfamiliäre Überwachung garantieren. Egal was die Kinder fortan auf ihren Devices machen würden, Eltern hätten immer und zu jedem Zeitpunkt (über eine eigene Webapplikation) nicht nur Einblick in die digitalen Machenschaften, es ist ihnen auch vorbehalten, alle Funktionen oder Apps zu sperren oder zu löschen. Alle, bis auf "Smart Sheriff" natürlich.
APA/AFP/ED JONES
Eine eigene Alarmfunktion meldet sich außerdem, wenn zb Suchbegriffe wie "Selbstmord" oder "Schwanger" am Device eingetippt werden. Für die Organisatin "Opennet Korea", die sich für digitale Bürgerrechte einsetzen, war diese Form der staatlichen Bevormundung klarerweise ein Affront. Sie wandten sich daher an "Citizen Lab", um gemeinsam der Verletzung der digitalen Bürgerrechte ein Ende zu setzen.
I shot the smart Sheriff (but I swear it was in self defense)
Um sicherzustellen, dass die App hält, was sie verspricht, nämlich Cybermobbing zu unterbinden und den Online-Alltag von Eltern und Schülern sicherer zu gestalten, testeten Experten von Cure53 die Apps (Smart Sheriff und Smart Dream) auf Schwachstellen. Das Ergebnis: Alles, was man beim Design von Apps falsch machen kann, wurde falsch gemacht. Cybermobbing wurde sogar noch begünstigt, erzählt Fabian Fäßler, Sicherheitsexperte von Cure53:
"Eine Sache, die wir gefunden haben, ist, dass es keine Form von Authentifizierung gibt. Das heißt, ich kann mich für ein anderes Kind ausgeben und dem zentralen Service schreiben: 'Hey dieses Kind hat eine Porno-Applikation installiert' oder ein Shooter-Spiel, das erst ab 18 ist. Das ermöglicht jemandem, der ein Kind mobben möchte, Tür und Tor. Ich könnte zum Beispiel einfach ein Programm schreiben, wo ich eine Nummer eingebe und einen Knopf drücke und all diese Sachen fälsche, sodass das betroffene Kind ernsthafte Probleme bekommt."
"Alles, was eine App unsicher macht"
Mit nur einem zentralen Server, der die Nutzerdaten aller (!) Jugendlichen Südkoreas gespeichert hat, hätte wohl so manch Krimineller zusätzliche Freuden. Um ans Daten-Eldorado zu kommen, würde es aber auch reichen, einfach so zu tun, als sei man ein Elternteil. Für die gibt es eine eigene Webapplikation, wo sie die Nutzungsstatistiken sehen und Änderungen vornehmen können.
Fäßler: "Man hat einfach den Server gefragt, unter Angabe der Elternnummer, und zurück kam das Passwort. Das heißt, man konnte sich einfach einloggen und dann das ganze Handy vom Kind sperren, oder sich die Nutzungsstatistiken anschauen. Auch Daten wie zb. Geburtstag und Name waren dort gespeichert. Wenn man sich überlegt, wie man eine Applikation unsicher machen möchte, findet man einfach alles drin."
Happy End mit Schönheitsfehlern
Natürlich haben die Sicherheitsforscher MOIBA informiert. Nach dem üblichen Säbelrasseln und juristischen Drohungen lenkte das Unternehmen ein und versprach die Fehler zu korrigieren. Mitunter auf recht kreative Art und Weise. So löschte MOBIA nach langem Hin und Her zwar die App aus dem Android Store, allerdings scheinbar nur, um das Design zu ändern, nicht, um die Schwachstellen zu beheben.
Fäßler: "Sie haben einfach die Applikation in "Cyber Safety Zone" umbenannt, haben das Logo geändert und es wieder hochgeladen. Ich unterstelle ihnen, dass sie versuchten, schlechten Nachrichten zu entgehen und glaubten wohl das zu erreichen, wenn man nichts mehr findet, wenn man es in Google eingibt. Eine Reaktion, die wir eigentlich ziemlich verurteilen."
Die Liste der Findings ist schier unendlich. Für alle, die tiefer eintauchen wollen, hier und hier geht's zu den Reports. Ein endgültiges Happy End ist zwar noch nicht in Sicht, aber die gemeinsamen Bemühungen von cure53, citizenlab, opennet korea und der Unterstützung von Open Technology Fund haben aber zu ersten Erfolgen geführt. MOIBA versucht mittlerweile wirklich, "Smart Sheriff" zu verbessern, die südkoreanische Regierung hat die verpflichtende Installation ausgesetzt und lässt Raum für alternative Angebote. Diese werden von den Cure53-Sicherheitsforschern derzeit geprüft. Fortsetzung folgt...