"Lernsieg" erhält eher schlechte Noten

© APA - Austria Presse Agentur

Apps
03/01/2020

Sicherheitsforscher: „Lernsieg-Lücke war schon länger bekannt“

Die umstrittene Lernsieg-App hatte bis Sonntag trotz der entdeckten Sicherheitslücke noch keine neue Version bereitgestellt.

von Barbara Wimmer

Diese Woche hat ein futurezone-Bericht für hohe Wellen geschlagen, als der Sicherheitsforscher Sebastian Bicchi von SEC Research in einem „Proof of Concept“ dargestellt hatte, dass die umstrittene Lehrerbewertungsapp einfach manipuliert werden kann. Mit "Lernsieg" lassen sich nämlich von Schülern Lehrer bewerten - und die Lehrergewerkschaft lief dagegen Sturm.

Bicchi hatte dargelegt, wie sich mit einem sogenannten „SMS-Gateway“ Bewertungen in der Lernsieg-App manipulieren lassen. Zudem ist es auf diesen Weg möglich, wenn man die Telefonnummer von den Schülern kennt, über dieselbe Lücke auch einzusehen, wer was für Bewertungen abgegeben hat. Lernsieg-Erfinder Benjamin Hadrigan hatte im futurezone-Gespräch betont, dass die App sicher sei, man aber das Verfahren aber „binnen zwei Werktagen“ sicherer machen werde.

Unsicheres Anmeldeverfahren

Konkret wollte Hadrigan das Verfahren zur Anmeldung bei der App auf dasselbe SMS-Authentifizierungsverfahren umstellen, das auch WhatsApp im Einsatz hat. Weder im Android-App-Store (Google Play), noch im App Store von Apple finden sich jedoch bisher neue Versionen der App. Somit lassen sich Bewertungen nach wie vor manipulieren. Hadrigan wies im futurezone-Gespräch darauf hin, dass dies strafbar sei und man dazu das Gesetz brechen müsse.

Dem Sicherheitsforscher, der das Ganze aufgedeckt hatte, warf man „Dirty Campaigning“ vor. Dieser wies diesen Vorwurf aber entschieden zurück. Stattdessen erklärte Bicchi, dass die Sicherheitslücke bereits seit November 2019 bekannt gewesen sei. „Mehrere Security-Forscher haben sie unabhängig voneinander gefunden, teilweise deutlich früher als wir, in Blogs waren bereits Diskussionen im Gange“, erklärte Bicchi.

Wurde schon etwas manipuliert?

„Wir begrüßen die Änderung hin zu einem sichereren Verfikationsverfahren“, sagte Bicchi. Weil die Lücke aktuell von jedem ausgenutzt werden könnte, wäre ein rasches Update empfehlenswert. Hadrigan hatte im futurezone-Gespräch ausgeschlossen, dass mit der App bereits Bewertungen manipuliert worden seien.

Bei SEC Research wolle man dies „nicht ausschließen“, da die Sicherheitslücke bereits durch andere vor mehrere Monaten öffentlich gemacht worden war. Die App war allerdings zwischenzeitlich offline - und ging erst am Montag vergangene Woche wieder an den Start.