Channel

Apps

App

Lernsieg: Schwachstelle kann zum Fälschen von Bewertungen missbraucht werden

© SEC Research
© SEC Research

Die Aufregung rund um die Lehrerbewertungs-App Lernsieg geht weiter. Nachdem die Datenschutzbehörde grünes Licht gab und die kostenlose Software wieder verfügbar ist, haben Sicherheitsforscher sie genauer unter die Lupe genommen. Und kommen zu dem Fazit: „Lernsieg ist eine Security-Niederlage„. Wegen einer schweren Schwachstelle sei es möglich, beliebig viele Bewertungen zu Schulen und Lehrern abzugeben und die Bewertungen somit beliebig verändern zu können.

Außerdem soll es mit entsprechenden technischen Tricks möglich sein, die Bewertungen beliebiger Nutzer abzufragen. Und: Über die Handynummern, mit denen Nutzer sich in der App registrieren, könnte man zudem herausfinden, welche Schüler (oder andere Personen) welche Bewertungen hinterlassen haben. „Es wäre kein Problem für Lehrer nachzuforschen, wie Schüler sie bewertet haben, wenn die Telefonnummer des Nutzers (Schülers) bekannt ist“, heißt es seitens SEC Research. „Da die App unseres Wissens nach zur Zeit keine Möglichkeit zur Löschung eigener Bewertungen bereitstellt, ist diese Möglichkeit wohl längerfristig gegeben. Die Anonymität ist nicht wie versprochen gegeben, da die Nummer nur ein Pseudonym für eine Person ist – es handelt sich also um eine Pseudonymisierung statt einer tatsächlichen Anonymisierung.“

Aufgefallen ist SEC Research die Sicherheitslücke bereits, bevor die App aus den App Stores genommen wurde. Bereits als die App ‚Lernsieg‘ das erste Mal erschien, begannen wir mit der Analyse und konnten Fehler und Risiken erkennen – jedoch wurde die App offline genommen, bevor wir unseren Artikel veröffentlichen konnten. Wir beschlossen aufgrund des berichteten Mobbings und Hassnachrichten gegen den Gründer, Benjamin Hadrigan, von einer Publikation abzusehen“, so Sebastian Bicci von SEC Research. Weil aber nach dem neuerlichen Release von Lernsieg die Fehler immer noch nicht beseitigt wurden, hätte man sich für die Veröffentlichung entschieden.

„Eingangstüre verkehrt herum gebaut“

So soll sich das System, das bei Lernsieg für die Registrierung der Nutzer mittels Handynummer eingesetzt wird, das Problem sein. Es sei nahezu trivial, den Absender der Authentizierungs-SMS zu fälschen, weil Lernsieg nicht das Standard-Verfahren wie WhatsApp oder Signal, sondern ein anderes, das viel leichter zu umgehen ist. „Lernsieg hat die Eingangstüre verkehrt herum eingebaut“. schreibt Bicci. Er zeigt auch, dass man mit etwa 650 Euro 10.000 stimmen abgeben und so die Bewertungen in der App beliebig verfälschen könnte.

Entwickelt wurde die App übrigens von All About Apps aus Wien. „Lernsieg speichert weder Vor- noch Nachnamen zur Telefonnummer ab. Schülerinnen und Schüler können deshalb anonym und sicher ihre Lehrerinnen und Lehrer bewerten“, so Lernsieg gegenüber futurezone.at, die zuerst über die Sicherheitslücke berichteten. Man müsse über „kriminelle Energie“ und „Hacker-Software“ verfügen, um „theoretisch mit besonderem technischem Aufwand“ herauszufinden, mit welcher Telefonnummer welcher Lehrer bewertet worden sei.

Gegenüber der APA schließen die Betreiber aus, dass bisher wegen der Schwachstelle versucht wurde, Bewertungen zu verfälschen oder die Absender hinter den Bewertungen zu ermitteln. Man wolle die Software aber ändern. Kritik äußerten die Lernsieg-Macher dann an SEC Research. Es sei in der Industrie nicht üblich, Schwachstellen zuerst der Öffentlichkeit zu melden und nicht dem Betreiber einer Software.

Springe zu:

Ganzen Artikel lesen
Corona-Krise