Lehrerbewertungs-App: Security-Firma ortet Sicherheitslücke

Das Security-Unternehmen SEC-Research ortet Sicherheitslücken bei der umstrittenen Lehrerbewertungs-App Lernsieg. Die von den Schülern abgegebenen Bewertungen sollen nicht anonym und auch nicht vor Manipulation geschützt sein, berichtet Futurezone. Die App-Betreiber schließen auf APA-Anfrage zwar aus, dass bisher Bewertungen eingesehen oder manipuliert wurden, wollen die Software aber ändern.

APA

Laut der Analyse von SEC-Research ist das bei Lernsieg eingesetzte SMS-Authentifizierungsverfahren mit relativ wenig Aufwand zu umgehen, die Security-Firma vergleicht es mit einem Login nur mit Benutzername und ohne Passwort. Dadurch könnten mit der Telefonnummer von Schülern und einem SMS-Gateway-Service, das man leicht im Internet findet, die Bewertungen beliebiger Nutzer abgefragt werden.

Es wäre kein Problem für Lehrer nachzuforschen, wie Schüler sie bewertet haben, wenn die Telefonnummer des Nutzers bekannt sei. Außerdem könnten der Analyse zufolge Accounts zu beliebigen Nummern erstellt und die Lehrer- und Schulbewertung damit im großen Stil manipuliert werden.

Die Betreiber der App betonen gegenüber der APA, dass bei Lernsieg keine Namen zur Telefonnummer abgespeichert werden. „Wer kriminelle Energie aufbringt und über eine Hacker-Software verfügt, weiters eine fremde Telefonnummer als die eigene ausgibt, konnte bisher theoretisch mit besonderem technischem Aufwand herausfinden, mit welcher Telefonnummer welcher Lehrer bewertet wurde, aber nicht, wem sie gehört oder wie damit bewertet wurde.“

Man schließe aus, dass dies überhaupt passiert ist. „Dennoch ändern wir die Software so, dass auch das nicht mehr möglich ist“, heißt es in der Stellungnahme. An SEC-Research üben die Lernsieg-Betreiber Kritik: Es entspreche nicht dem Industrie-üblichen Standard, Lücken direkt an Medien und nicht zuerst dem Betreiber zu melden.

APA

Jetzt

oder

oder mit

versenden.