YouPorn auf installierten iPads bei McDonald's abrufbar

Der Einsatz von fest montierten iPads zum Spielen und Surfen im Web ist derzeit in rund 20 Restaurants von McDonald‘s möglich. Bald sollen es 100 Filialen sein, die mit iPads ausgestattet sind. Die Firma Kapsch wurde damit beauftragt, eine Lösung umzusetzen, mit der die Geräte kindersicher betrieben werden können (die futurezone hat berichtet). Doch ist das wirklich gelungen?

Ein Sicherheitsexperte hat nun in einer Wiener Filiale ein paar Sicherheitslücken entdeckt, mit denen sich der Kinderschutz in wenigen Schritten und wenigen Minuten aushebeln lässt. Jeder McDonald's-Kunde konnte ein sogenanntes Virtual Private Network (VPN) auf dem iPad anlegen und hinzufügen und damit die Content-Sperre, die von Kapsch zu Kinderschutz-Zwecken implementiert wurde, umgehen. Dadurch wurde es etwa auch möglich, sich pornografische Inhalte auf expliziten Plattformen wie YouPorn anzusehen.

Live-Demo in Wiener Filiale

Die futurezone konnte sich davon bei einer Live-Demonstration in einer McDonald’s-Filiale selbst überzeugen. „Jeder Teenager, der bereits einmal in der Schule mit Internet-Sperren konfrontiert war, hat das nötige Know-How, um diese Schwachstelle auszunutzen“, meint der Sicherheitsexperte, der anonym bleiben möchte.

Tatsächlich dauerte der Vorgang, die Internet-Sperren zum Kinderschutz auszuhebeln, nur wenige Minuten. „Man hat sich lediglich einen kostenlosen VPN-Dienst über Google suchen und die dort angegebenen Daten im richtigen Menüpunkt des iPads eintragen müssen“, erklärt der Sicherheitsexperte.

Bei der Live-Demo wurde dazu auf den Dienst „superfreevpn.com“ zurückgegriffen. Kaum wurden die im Netz angegebenen Daten im Menüpunkt „Einstellungen“ und „VPN am iPad“ eingetragen und aktiviert, konnten Websites wie YouPorn aufgerufen werden. Eine genaue Anleitung, wie man das macht, erfolgte ebenfalls auf der Website des VPN-Dienstes. Bis die Seite vollständig aufgebaut war, dauerte es zwar einige Zeit, aber es war möglich. Auch das Anspielen von Videos war möglich (wenn auch ebenso langsam).

Nun gilt YouPorn in einem öffentlichen Restaurant wohl nicht gerade als der Inhalt erster Wahl, den man sich als Erwachsener ansehen würde. Für Teenager, die die Absicht hegen, etwas für sie „Verbotenes“ zu tun, ist dies jedoch sehr wohl ein interessantes - und nicht unübliches - Anwendungsszenario. Wenn Teenager das VPN-Netzwerk dann nach ihrem Besuch auf Seiten wie YouPorn aktiviert lassen, könnte es durchaus auch passieren, dass tatsächlich auch jüngere Kinder derartige Inhalte zu Gesicht bekommen.

"Kein Standard-Verhalten"

Die futurezone hat deswegen Kapsch kontaktiert und um eine Stellungnahme zu der Problematik gebeten. Die Antwort: „Die Verwendung von VPN setzt voraus, dass jemand einen VPN-Server betreibt und die Verbindungsdaten sowie Konfiguration am iPad durchführt. Nachdem dieser Use-Case nicht dem Standard-Verhalten eines Konsumenten entspricht, wurde diese Thematik auch in unserer gemeinsamen Entwicklung der Lösung nicht berücksichtigt.“

Kapsch hat dennoch angekündigt, sich um die Lösung des Problems kümmern zu wollen. „Das Apple iOS-Betriebssystem besitzt keine Möglichkeit, den VPN-Knopf zu deaktivieren. Mit Hilfe der eingesetzten Firewall können wir die Standard-Ports für VPN allerdings deaktivieren. Diese Änderung wird in allen Restaurants von Seiten Kapsch remote innerhalb der nächsten Tage durchgeführt.“ Damit sollten die iPads bei McDonald’s tatsächlich kindersicherer werden (wenn es auch hier Mittel und Wege gibt, diese Implementierung einer Firewall zu umgehen).

Zweite Schwachstelle

Beim futurezone.at-Test gab es jedoch noch eine weitere System-Lücke. Diese hat damit zu tun, dass man unter dem Menüpunkt "Einstellungen" den installierten und aktiv beworbenen RESET-Knopf, der dafür sorgen soll, dass jeder Nutzer seine Datenspuren im Netz löschen kann, verschwinden lassen kann. Das iPad lässt sich dann in Folge weder durch Kunden noch durch McDonalds-Mitarbeiter nicht mehr zurücksetzen. Die Datenspuren der Nutzer (ihre Facebook-Logins, ihre Google-Suchabfragen, ihre gespeicherten E-Mail-Passwörter) bleiben erhalten.

Auch das Konfigurationsprofil lässt sich gleichermaßen einfach löschen und damit können in Folge auch am iPad gespeicherte Bookmarks und Apps entfernt werden. Außerdem lässt sich die Hintergrundanzeige am Bildschirm manipulieren.

Remote-Knopf wird blockiert

Kapsch nimmt auch dazu Stellung: „Das Verschwinden des Reset-Buttons ist auf eine Standard-Konfigurationseinstellung innerhalb der eingesetzten Apple-Software zurückzuführen. Jedoch wird nach jedem Reset, spätestens nach dem täglichen, automatisierten Reset durch Kapsch, dieser „Knopf“ wiederhergestellt.“ Kapsch werde die Konfiguration der iPads ändern, so dass der RESET-Knopf sowie das Konfigurationsprofil nicht mehr gelöscht werden können. Auch dies soll „in den nächsten Tagen“ geschehen. Kapsch wurde von der futurezone vor 11 Tagen informiert.

Damit werden die iPads bei McDonald’s auch vor böswilligen Manipulationen besser geschützt. Doch es gibt noch immer Lücken, die zwar nicht gefährlich, aber für Kunden ärgerlich sein könnten, weil es die Geräte unbenutzbar macht. So lässt sich beispielsweise mit viel Geschick ein PIN-Code installieren, den man eingeben muss, um das iPad zu benutzen. Auch dies könnte so manchen McDonald’s-Kunden, der zu seinem Burger auch eine Online-Zeitung lesen will, gründlich verärgern.