Sicherheitslücke bei Schutzranzen geschlossen: "Ausschließlich Test-User waren betroffen"
Das Technik-Team der Coodriver GmbH hat eine Sicherheitslücke in der App Schutzranzen geschlossen. Wichtig: Von der Sicherheitslücke waren ausschließlich eine begrenzte Zahl von Testkunden betroffen. Aufgedeckt hat die Sicherheitslücke die Forschungsgruppe Sicherheit in Verteilten Systemen der Universität Hamburg.
Betroffen waren folgende App-Versionen:
- Android Kind bis Version 1.1.5
- Android Fahrer bis Version 1.1.7
- iOS Kind bis Version 1.2.3
- iOS Fahrer bis Version 1.4.1
Der Angriff der Forschungsgruppe richtete sich gegen Sicherheitslücken bei Android und iOs. Beide Betriebssysteme lassen es zu, dass installierte Apps die Verifizierung des Server-Zertifikats umgehen. Das führt dazu, dass die bei Schutzranzen eingesetzte TLS-Verschlüsselung umgangen werden konnte. Der Angriff war also nicht aufgrund einer falschen Programmierung der Schutzranzen-App, sondern aufgrund der Verschlüsselungsproblematik bei den Betriebssystemen möglich. Mehr Infos zu der Sicherheitslücke finden Sie auf unserer Webseite.
Im Zuge des Angriffs konnten die Forscher alle geografischen Sektoren abrufen, in denen Schutzranzen-Tracker oder Smartphones mit Kinder-Apps aktiv waren. Die genauen Standorte der Tracker oder Kinder-Apps konnten sie aber nicht einsehen, ebensowenig wie viele Tracker oder Kinder-Apps sich in einem Sektor aufhielten.
Durch den Angriff sind die Forscher an eine Liste der Tracker, inclusive IMEI-Nummer, Telefonnummer, und "letzte bekannte Position" gelangt. Da es sich um Test-Geräte gehandelt hat, war die Zahl der betroffenen User überschaubar. Eine Gefahr für die Nutzer bestand zu keinem Zeitpunkt.
"In Zukunft werden solche Angriffe durch eine End-to-end-Verschlüsselung mit AES 256 vermieden", sagt Ana Aguiar, CTO der Coodriver GmbH. Somit ist es unmöglich, den Inhalt übertragener Daten abzufangen. "Zusätzlich werden wir künftig bei jeder größeren Aktualisierung der App und mindestens einmal im Jahr Penetrations-Tests durchführen lassen."
"Wir wollen mit unserer App den Straßenverkehr sicherer machen", sagt Walter Hildebrandt, Gründer der Coodriver GmbH. "Deshalb liegen uns Datensicherheit und Datenschutz besonders am Herzen", so Hildebrandt.
Über die Coodriver GmbH: Coodriver wurde 2016 von Walter Hildebrandt gegründet. Das Unternehmen gibt die App Schutzranzen heraus, die Autofahrer warnt, sobald Kinder in der Nähe sind, die mit der Schutzranzen-Lösung ausgestattet sind. 2016 hat Coodriver für Schutzranzen den Sicherheitspreis von auto motor und sport und HUK-COBURG gewonnen.