Schwachstellen in Parental-Control- und Mobile-Security-Apps für Android
ID: 1587382
Konfiguration verbessert die Sicherheit
Diese Apps bieten u.a. Funktionen zur Filterung der im Browser aufgerufenen Webseiten. Um eine Kategorisierung einer Webseite vorzunehmen, wurde die aufgerufene URL - außer bei ESET Parental Control - an einen Webservice des App-Herstellers gesendet. Benutzer dieser Apps sollten sich also im Klaren darüber sein, dass das Surfverhalten des Anwenders preisgegeben wird. Darüber hinaus waren die Apps von Symantec und Sophos anfällig für Man-in-the-Middle-Angriffe, da die Kommunikation zum Webservice des Herstellers unverschlüsselt erfolgte. Symantec Norton Family versendete die URL sogar im Klartext (CVE-2017-15530), während Sophos Mobile Security die URL lediglich mit ROT13 "verschlüsselt" versendete (CVE-2018-6325).
Außerdem befanden sich in allen untersuchten Apps grobe Fehler in der Verarbeitung von Intents, die zum Absturz der Apps führten. Durch den Absturz der Apps wurden die konfigurierten Kontrollmechanismen temporär außer Kraft gesetzt (CVE-2017-15529, CVE-2018-6326, CVE-2018-6327).
Ebenso konnten der Safe Mode von Android, die Mehrbenutzerfunktionen oder die Debug-Schnittstelle adb verwendet werden, um die Apps zu umgehen. Kaspersky Safe Kids ließ sich auf triviale Art umgehen, indem ein anderes Benutzerprofil ausgewählt wurde. ESET Parental Control verhinderte dies, indem es die Mehrbenutzerfunktionalität gänzlich außer Kraft setzte. Lediglich Symantec Norton Family wies Eltern darauf hin, wie das Gerät eingerichtet werden muss, um solche Angriffe zu verhindern.
Generell lässt sich sagen, dass viele Funktionen dieser Apps mit dem Sicherheitsmodell der Android-Plattform kollidierten. So konnte eine Dritthersteller-App beispielsweise die eigene Deinstallation nicht effektiv verhindern.
Eventuell verstößt das Verhindern der Deinstallation sogar gegen die Android-Entwicklerrichtlinien. Ohne ein Verhindern der Deinstallation können Kontrollfunktionen aber nicht aufrechterhalten werden.
Anwendern, die ihr Android-Gerät schützen möchten, wird empfohlen, einen sicheren Lockscreen zu konfigurieren und die Funktionen Find My Device (Diebstahlschutz) und Play Protect (Integrität des Gerätes) zu aktivieren.
Die cirosec GmbH ist ein spezialisiertes Unternehmen mit Fokus auf IT- und Informationssicherheit, das seine Kunden im deutschsprachigen Raum berät. Das Angebotsspektrum umfasst die Bereiche Konzepte, Reviews und Analysen, Managementberatung (ISO 27001, Risikomanagement, Erstellung von Prozessen, Policies, Richtlinien), Durchführung von Audits und Penetrationstests, Incident Response und Forensik sowie Konzeption, neutrale Evaluation und Implementation von Produkten und Lösungen. Die Schwerpunkte der technischen Lösungen liegen auf Applikationssicherheit, Schutz vor gezielten Angriffen, Sicherheit im internen Netz, Netzwerkzugangskontrolle, Bring Your Own Device, Mobile / Wireless Security, Security Management und Nachvollziehbarkeit administrativer Zugriffe. Darüber hinaus bietet cirosec seinen Kunden innovative Trainings, in denen die versierten Berater den richtigen Umgang mit modernen Technologien und neuen Sicherheitsthemen vermitteln.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Die cirosec GmbH ist ein spezialisiertes Unternehmen mit Fokus auf IT- und Informationssicherheit, das seine Kunden im deutschsprachigen Raum berät. Das Angebotsspektrum umfasst die Bereiche Konzepte, Reviews und Analysen, Managementberatung (ISO 27001, Risikomanagement, Erstellung von Prozessen, Policies, Richtlinien), Durchführung von Audits und Penetrationstests, Incident Response und Forensik sowie Konzeption, neutrale Evaluation und Implementation von Produkten und Lösungen. Die Schwerpunkte der technischen Lösungen liegen auf Applikationssicherheit, Schutz vor gezielten Angriffen, Sicherheit im internen Netz, Netzwerkzugangskontrolle, Bring Your Own Device, Mobile / Wireless Security, Security Management und Nachvollziehbarkeit administrativer Zugriffe. Darüber hinaus bietet cirosec seinen Kunden innovative Trainings, in denen die versierten Berater den richtigen Umgang mit modernen Technologien und neuen Sicherheitsthemen vermitteln.
Datum: 06.03.2018 - 10:31 Uhr
Sprache: Deutsch
News-ID 1587382
Anzahl Zeichen: 3719
Kontakt-Informationen:
Stadt:
Heilbronn
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 350 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Schwachstellen in Parental-Control- und Mobile-Security-Apps für Android"
steht unter der journalistisch-redaktionellen Verantwortung von
cirosec GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
cirosec, der Spezialist im IT-Sicherheitsbereich, freut sich auf seine Teilnahme an der Messe SecIT, die vom 17. bis 19. März 2026 in Hannover stattfindet. Mit einem eigenen Messestand und vielen Vorträgen, Workshops und Deep-Dive-Sessions wird cirosec sein umfassendes Know-how im IT-Sicherheitsbe
IT-Defense 2026: Internationale Top-Security-Experten treffen sich in Würzburg ...
Einige der weltweit bekanntesten IT-Security-Experten, Hacker und Buchautoren treffen sich vom 4. bis 6. Februar 2026 auf der IT-Sicherheitskonferenz IT-Defense in Würzburg, um über aktuelle IT-Sicherheitsthemen und neue Forschungsergebnisse zu referieren. Die IT-Defense findet bereits zum 23. Mal
cirosec präsentiert sich mit aktuellen Sicherheitsthemen auf IT-Security-Messe it-sa ...
cirosec, der Spezialist im IT-Sicherheitsbereich, wird vom 7. bis 9. Oktober auf der IT-Security-Messe it-sa in Nürnberg mit einem eigenen Stand (Halle 7, Stand 7-236) vertreten sein. Neben der Sicherheit von Active Directory und Azure stehen Incident Response, effiziente Auswertung von Logs und Se
Weitere Mitteilungen von cirosec GmbH
Oceanology International 2018: Mit smarter Kamera zu neuer Qualität von Unterwasser-Aufnahmen ...
Meere - Herausforderung für die Forschung, Nutzen für die Wirtschaft und alle zwei Jahre Thema der Oceanology International in London. Mit dabei: eine intelligente Kamera, die Objekte unter Wasser in Echtzeit auswertet und analysiert. Mehr als zwei Drittel unseres Planeten sind von Wasser bedec
MEHRWERK lädt ein zum Webinar: "Live Attack Simulation - Schutz vor Cyber-Angriffen leicht gemacht" ...
MEHRWERK, Experte für softwarebasierte Geschäftsprozessoptimierung aus Karlsruhe, führt aus aktuellem Anlass des Cyber-Angriffes auf unsere Bundesregierung ein kostenfreies Cyber Security Webinar durch. Am Markt vorhanden Lösungen mögen für die Bedrohungen und Technologien der vergangenen
eSports.comändert Personal und Strategie / Arne Peters kommt, HitBTC Listing kommt demnächst, esports-Wetten kommen nicht ...
Neue strategische Weichenstellungen und ein neues Teammitglied bei eSports.com (www.esports.com), der ambitionierten Plattform für eSports: Arne Peters, ehemals Vice President Strategic Relations bei ESL-Veranstalter Turtle Entertainment GmbH, wird die Führungsmannschaft von eSports.com ab
Trustly erhält TÜV-Zertifikat für Datenschutz ...
Der TÜV Saarland hat das Zahlungssystem des schwedischen Fintech-Unternehmens Trustly mit dem TÜV-Siegel ?Geprüfter Datenschutz? zertifiziert. Die Grundlagen für das Prüfsiegel sind die gesetzlichen Anforderungen zum Datenschutz und die Grundsätze der IT-Sicherheit. Der E-Payment-Anbieter Trus
