Über eine inzwischen geschlossene Lücke in der Infrastruktur der Schüler-App Scoolio waren persönliche Daten von tausenden Schülerinnen und Schülern abrufbar.
Das Security-Kollektiv Zerforschung hat zahlreiche Lücken in der App "Scoolio" dokumentiert, über die Daten von zum größten Teil minderjährigen Schülerinnen und Schülern abrufbar waren. Die Schwachstellen sind laut dem Anbieter der App inzwischen geschlossen, die Dokumentation lief in einem Verfahren der Responsible Disclosure seit dem 20. September 2021.
In Scoolio können Schülerinnen und Schülern sowie Lehrkräften Stundenpläne, Hausaufgaben und anderen Planungen hinterlegen, die werbefinanzierte App ist aber auch ein soziales Netzwerk mit kleinen Spielen und Chaträumen. Laut einem
Da Scoolio auch frei erstellbare Chaträume wie "Christen" oder "LGBTQ" erlaubt, ließen sich über Mitgliedschaften dort und die Profil-IDs auch Daten über religiöse oder sexuelle Orientierung von größtenteils minderjährigen Menschen sammeln.
Die Scoolio GmbH verweist
Quelle: heise
Das Security-Kollektiv Zerforschung hat zahlreiche Lücken in der App "Scoolio" dokumentiert, über die Daten von zum größten Teil minderjährigen Schülerinnen und Schülern abrufbar waren. Die Schwachstellen sind laut dem Anbieter der App inzwischen geschlossen, die Dokumentation lief in einem Verfahren der Responsible Disclosure seit dem 20. September 2021.
In Scoolio können Schülerinnen und Schülern sowie Lehrkräften Stundenpläne, Hausaufgaben und anderen Planungen hinterlegen, die werbefinanzierte App ist aber auch ein soziales Netzwerk mit kleinen Spielen und Chaträumen. Laut einem
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
waren die anhand der Daten gewonnen Persönlichkeitsprofile schlecht geschützt.Daten aus fremden Profilen abrufbar
An ihrem eigenen Profil konnten die Sicherheitsforscher über ein Person-in-the-Middle-Proxy die Kommunikation zwischen App und Server beobachten und sich an den Endpunkten der genutzten APIs entlang hangeln. Das Team fand heraus, dass sich mit Profil-IDs die Daten der zugehörigen Accounts abrufen ließen. Die Sicherheitsforscherin Lilith Wittmann, die seit Kurzem mit Zerforschung zusammenarbeitet, schätzt im Gespräch mit heise online, dass so rund 400.000 Profile abrufbar gewesen seien.Da Scoolio auch frei erstellbare Chaträume wie "Christen" oder "LGBTQ" erlaubt, ließen sich über Mitgliedschaften dort und die Profil-IDs auch Daten über religiöse oder sexuelle Orientierung von größtenteils minderjährigen Menschen sammeln.
Gefahr von Cybergrooming
Die Sicherheitsexperten sehen auch die Gefahr, dass die App von Erwachsenen fürDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
missbraucht wird. So sei es möglich gewesen, ein Benutzerprofil für eine Person von angeblich 33 Jahren anzulegen, mit dem unter anderem der Zutritt zur Chatgruppe "Suche Freund zwischen 12 und 13" möglich war. Dies sei nicht von den Moderatoren von Scoolio unterbunden worden.Die Scoolio GmbH verweist
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
auf technische Schutzmaßnahmen für den Jugendschutz wie einen Upload-Filter für Bilddateien sowie eine Sperre von Mailadressen und Telefonnummern in Chats. Zudem soll es weitere Verbesserungen geben, denen dann ein "Safety Audit durch externe IT-Experten" folgen soll. In der Mitteilung dankt Scoolio den Sicherheitsexperten. Diese haben ihre aktuelle Veröffentlichung nur als ersten Teil der Reihe "Back to school" bezeichnet – weitere Untersuchungen von Schul-Apps sollen folgen.Quelle: heise
