Inwiefern spezielle Smartphones für Senioren mit Tracking-Funktion sinnvoll sind, dürft ihr für euch selber entscheiden. Die Geräte als solche sind sicherlich für viele passend, es nützt nur nichts, wenn die dazugehörige Software haarsträubende Sicherheitslücken beherbergt.
Anfang des Jahres schrieb uns unser langjähriger Leser Heiko und berichtete, dass er für den Betrieb in der Familie ein Senioren-Handy bei Pearl gekauft habe. Das Gerät, welches Pearl da beispielsweise anbietet, ist das simvalley Mobile „Komforthandy mit Garantruf Premium, XL-Farbdisplay, GPS-Tracking & App„.
Für jenes gibt es Apps für Android und iOS. In dieser App lassen sich Familiengruppen gründen. Man kann den Inhaber des Smartphones in der Gruppe orten, man kann Alarme einstellen, wenn der Senior (oder vielleicht das Kind) festgelegte Bereiche verlassen und ein Live-Tracking der Person ist möglich. Jeder mit der App kann in die Gruppe, man braucht nur einen speziellen Einladungscode.
Nun kommen wir zum entscheidenden Punkt: Dieser „spezielle“ Einladungscode ist in der Vergangenheit eine fortlaufende Nummer gewesen. Die App erlaubt das Nutzen mehrerer Nummern und so konnte man mit der App in jede Gruppe, indem man fortlaufende Nummern ausprobierte. Hier konnte man dann alles sehen, was in der App hinterlegt war. Notfallkontakte, die Sperrbereiche, Profilbilder, den Ort – eben alles.
Wir haben in Hinblick auf die Einfachheit der Ausnutzung der Sicherheitslücke nicht über diesen Fall berichtet, denn wirklich jeder konnte die von Pearl genutzte App des chinesischen „Shenzhen Uoshon Communication Technology Co.,Ltd.“ namens Wefam Pearl nutzen und so die erklärte Gruppenfunktion nutzen. Wir haben die Presseabteilung von Pearl informiert, die in dieser Folge wohl ihren chinesischen App-Entwickler ansprachen. Der hat nun am Ende der letzten Woche die App mit „verbesserter Sicherheit“ aktualisiert. Offenbar eine eingekaufte White-Label-App.
Statt fortlaufender Nummern gibt es nun einen zufälligen Code. Dieser hatte im Test unseres Lesers Heiko dann immerhin 8 Stellen, von denen die ersten 4 aber in diversen Durchläufen immer die gleiche Buchstabenfolge aufwiesen. Hier könnte man sicherlich einen Bot ansetzen. Vielleicht hätte man eher eine Abfrage einbauen müssen, ob eine Person in die Gruppe darf. (Update: Pearl informierte mich, dass der Code komplexer werden wird)
Solltet ihr also jemanden kennen, der diese App nutzt, dann informiert diesen, dass er diese aktualisiert. Und erstellt vielleicht eure Gruppe neu. Oder noch besser: Verzichtet auf so etwas. Das wirkt auf mich irgendwie nur wenig vertrauenerweckend mit dieser App da.